Cập nhật chứng chỉ TLS cho Cloud Cloud

Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến tài liệu về Apigee X. thông tin

Phương thức mà bạn sử dụng để chỉ định tên kho khoá và kho lưu trữ tin cậy trong máy chủ ảo hoặc máy chủ điểm cuối/máy chủ đích sẽ xác định cách bạn cập nhật chứng chỉ. Bạn có thể chỉ định tên kho khoá và kho lưu trữ tin cậy bằng cách sử dụng:

  • Tệp đối chiếu – ưu tiên
  • Tên trực tiếp
  • Biến luồng

Mỗi phương thức này đều có những hậu quả khác nhau trong quá trình cập nhật chứng chỉ, như mô tả trong bảng sau.

Loại cấu hình Cách cập nhật/thay thế chứng chỉ Cách cập nhật máy chủ ảo, thiết bị đầu cuối/máy chủ đích
Tệp đối chiếu (nên dùng) Đối với kho khoá, hãy tạo kho khoá mới có tên mới và một bí danh có cùng tên với bí danh cũ.

Đối với kho lưu trữ tin cậy, hãy tạo một kho lưu trữ tin cậy với tên mới.

 Cập nhật tham chiếu đến kho khoá hoặc kho lưu trữ tin cậy.

Bạn không cần khởi động lại Bộ định tuyến hoặc Bộ xử lý thư.
Biến luồng (chỉ điểm cuối mục tiêu) Đối với kho khoá, hãy tạo kho khoá mới với tên mới và một bí danh có cùng tên hoặc bằng tên mới.

Đối với kho lưu trữ tin cậy, hãy tạo một kho lưu trữ tin cậy với tên mới.

 Truyền var đã cập nhật cho mỗi yêu cầu bằng tên của kho khoá, bí danh hoặc kho tin cậy mới.

Bạn không cần khởi động lại Bộ định tuyến hoặc Bộ xử lý thư.
Trực tiếp Tạo một kho khoá, bí danh và kho tin cậy mới. Cập nhật máy chủ ảo rồi khởi động lại Bộ định tuyến.

Nếu một kho lưu trữ tin cậy được một máy chủ đích/điểm cuối đích sử dụng, hãy triển khai lại proxy.
Trực tiếp Xoá kho khoá hoặc kho khoá tin cậy rồi tạo lại kho khoá đó bằng cùng một tên. Không yêu cầu cập nhật máy chủ ảo, không cần khởi động lại Bộ định tuyến. Tuy nhiên, các yêu cầu API sẽ không thành công cho đến khi kho khoá và bí danh mới được thiết lập.

Nếu kho khoá được dùng cho TLS hai chiều giữa Edge và dịch vụ phụ trợ, hãy khởi động lại Bộ xử lý thông báo.
Trực tiếp Chỉ dành cho kho lưu trữ tin cậy, hãy tải chứng chỉ mới lên kho lưu trữ tin cậy. Nếu một máy chủ ảo sử dụng kho lưu trữ tin cậy, hãy khởi động lại Bộ định tuyến.

Nếu một máy chủ đích/đích đến sử dụng kho lưu trữ tin cậy, hãy khởi động lại Bộ xử lý thông báo.

Kiểm tra chứng chỉ trước và sau khi cập nhật

Sử dụng các lệnh openssl sau đây để kiểm tra chứng chỉ hiện tại trước khi bạn cập nhật:

echo | openssl s_client -servername hostAlias -connect hostAlias.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

Trong đó hostAlias là bí danh của máy chủ lưu trữ ảo hoặc địa chỉ IP. Ví dụ:

echo | openssl s_client -servername api.myCompany.com -connect api.myCompany.com:443 2>/dev/null | openssl x509 -noout -dates -subject

Bạn sẽ thấy kết quả dưới dạng:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

Dùng chính lệnh này sau khi cập nhật chứng chỉ để kiểm tra.

Cập nhật chứng chỉ TLS trong kho khoá

Đối với việc triển khai Edge tại chỗ:

  1. Tạo một kho khoá mới rồi tải chứng chỉ và khoá lên theo mô tả tại Keystores và Truststores. Trong kho khoá mới, hãy đảm bảo rằng bạn sử dụng cùng một tên cho bí danh khoá như được dùng trong kho khoá hiện có.

    Lưu ý: Bạn có thể xoá kho khoá hiện tại rồi tạo một kho khoá mới có cùng tên và bí danh. Không cần khởi động lại Bộ định tuyến. Tuy nhiên, các yêu cầu API sẽ không thành công cho đến khi kho khoá và bí danh mới được thiết lập.
  2. Đối với máy chủ ảo mà một kết nối đến sử dụng, nghĩa là yêu cầu API vào Edge:
    1. Nếu máy chủ ảo của bạn sử dụng một tệp tham chiếu đến kho khoá, hãy cập nhật tệp đối chiếu như mô tả trong phần Làm việc với tệp đối chiếu.
    2. Nếu máy chủ ảo của bạn sử dụng tên trực tiếp của kho khoá:
      1. Cập nhật mọi máy chủ ảo đã tham chiếu đến kho khoá và bí danh khoá cũ để tham chiếu đến kho khoá và bí danh khoá mới.
      2. Lần lượt khởi động lại Bộ định tuyến. Lưu ý rằng nếu bạn đã xoá kho khoá cũ và tạo một kho khoá mới có cùng tên, thì không cần khởi động lại Bộ định tuyến.

        Không cần triển khai lại proxy.
  3. Đối với máy chủ đích/máy chủ đích mà một kết nối đầu ra sử dụng, nghĩa là từ quá trình Apigee đến một máy chủ phụ trợ:
    1. Nếu máy chủ đích/máy chủ đích sử dụng một tệp tham chiếu đến kho khoá, hãy cập nhật tệp đối chiếu như mô tả trong phần Làm việc với tệp đối chiếu. Bạn không cần triển khai lại proxy.
    2. Nếu máy chủ đích/máy chủ đích sử dụng biến luồng, hãy cập nhật biến luồng. Bạn không cần triển khai lại proxy.
    3. Nếu máy chủ đích/máy chủ đích sử dụng tên trực tiếp của kho khoá:
      1. Cập nhật cấu hình máy chủ đích/điểm cuối mục tiêu cho mọi proxy API có tham chiếu đến kho khoá và bí danh khoá cũ để tham chiếu đến kho khoá và bí danh khoá mới.
      2. Đối với mọi proxy API tham chiếu đến kho khoá từ định nghĩa TargetEndpoint, bạn phải triển khai lại proxy.

        Nếu TargetEndpoint tham chiếu đến một định nghĩa TargetServer và định nghĩa TargetServer tham chiếu đến kho khoá, thì bạn không cần triển khai lại proxy.
      3. Nếu kho khoá được dùng cho TLS hai chiều giữa Edge và dịch vụ phụ trợ, và bạn đã xoá/tạo lại kho khoá có cùng tên, thì bạn phải khởi động lại Bộ xử lý thông báo của Edge.
  4. Sau khi bạn xác nhận rằng kho khoá mới của mình đang hoạt động chính xác, hãy xoá kho khoá cũ có chứng chỉ và khoá đã hết hạn như mô tả ở trên.

Cập nhật chứng chỉ TLS trong Truststore

Nếu bạn đang sử dụng tệp tham chiếu đến kho khoá, thì quy trình cập nhật chứng chỉ trong kho khoá sẽ giống như quy trình cập nhật chứng chỉ trong kho khoá như trình bày ở trên. Điểm khác biệt duy nhất là:

  • Khi bạn tải chứng chỉ mới lên kho lưu trữ tin cậy mới, tên bí danh không quan trọng đối với kho lưu trữ tin cậy.
  • Nếu chứng chỉ là một phần của chuỗi, thì bạn phải tạo một tệp duy nhất chứa tất cả các chứng chỉ và tải tệp đó lên một bí danh duy nhất hoặc tải riêng tất cả các chứng chỉ trong chuỗi lên kho lưu trữ tin cậy bằng cách sử dụng một bí danh khác nhau cho mỗi chứng chỉ.

Nếu bạn đang sử dụng tên trực tiếp của kho khoá và kho lưu trữ tin cậy:

  1. Tải chứng chỉ mới lên Truststore như mô tả trong Keystores và Truststore. Không cần phải xóa chứng chỉ cũ.
  2. Đối với máy chủ ảo mà một kết nối đến sử dụng, tức là yêu cầu API vào Edge, hãy khởi động lại lần lượt từng Bộ định tuyến.
  3. Đối với máy chủ đích/máy chủ đích mà một kết nối đầu ra sử dụng (tức là từ quá trình ứng dụng Apigee đến một máy chủ phụ trợ), hãy khởi động lại lần lượt từng Bộ xử lý thông báo Edge.
  4. Xác nhận rằng kho lưu trữ tin cậy mới của bạn đang hoạt động đúng cách.