Cập nhật chứng chỉ TLS cho Cloud Cloud

Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến Tài liệu về Apigee X. thông tin

Phương thức mà bạn sử dụng để chỉ định tên của kho khoá và kho tin cậy trong máy chủ ảo hoặc điểm cuối/máy chủ mục tiêu đích xác định cách bạn thực hiện quá trình cập nhật chứng chỉ. Bạn có thể chỉ định tên của kho khoá và kho tin cậy bằng cách sử dụng:

  • Tài liệu tham khảo – ưu tiên
  • Tên trực tiếp
  • Biến luồng

Mỗi phương pháp trong số này có các hậu quả khác nhau đối với quá trình cập nhật chứng chỉ, như được mô tả trong bảng sau.

Loại cấu hình Cách cập nhật/thay thế chứng chỉ Cách cập nhật máy chủ lưu trữ ảo, thiết bị đầu cuối đích/máy chủ mục tiêu
Tệp đối chiếu (nên dùng) Đối với kho khoá, hãy tạo kho khoá mới với tên mới và bí danh bằng cùng một tên với bí danh cũ.

Đối với kho tin cậy, hãy tạo kho tin cậy với một tên mới.

 Cập nhật tệp tham chiếu đến kho khoá hoặc kho tin cậy.

Không cần khởi động lại Bộ định tuyến hoặc Trình xử lý thư.
Biến luồng (chỉ điểm cuối mục tiêu) Đối với kho khoá, hãy tạo kho khoá mới với tên mới và bí danh bằng có cùng tên hoặc tên mới.

Đối với kho tin cậy, hãy tạo kho tin cậy với một tên mới.

 Truyền var luồng được cập nhật trên mỗi yêu cầu bằng tên của kho khoá, bí danh mới hoặc kho tin cậy.

Không cần khởi động lại Bộ định tuyến hoặc Trình xử lý thư.
Trực tiếp Tạo một kho khoá, bí danh, cửa hàng tin cậy mới. Cập nhật máy chủ ảo và khởi động lại Bộ định tuyến.

Nếu kho tin cậy được một điểm cuối/máy chủ mục tiêu sử dụng, hãy triển khai lại proxy.
Trực tiếp Xoá kho khoá hoặc kho khoá tin cậy rồi tạo lại kho khoá hoặc kho lưu trữ đó bằng cùng một tên. Không cần cập nhật máy chủ ảo, không cần khởi động lại Bộ định tuyến. Tuy nhiên, không gửi được các yêu cầu API cho đến khi thiết lập kho khoá và bí danh mới.

Nếu kho khoá được sử dụng cho TLS hai chiều giữa Edge và dịch vụ phụ trợ, hãy khởi động lại Trình xử lý tin nhắn.
Trực tiếp (Chỉ đối với kho tin cậy), hãy tải chứng chỉ mới lên kho tin cậy. Nếu kho tin cậy được một máy chủ ảo sử dụng, hãy khởi động lại Bộ định tuyến.

Nếu kho tin cậy được một điểm cuối mục tiêu/máy chủ mục tiêu sử dụng, hãy khởi động lại ứng dụng Message Bộ xử lý.

Kiểm tra chứng chỉ trước và sau khi nội dung cập nhật

Dùng các lệnh openssl sau để kiểm thử chứng chỉ hiện tại trước khi cập nhật nó:

echo | openssl s_client -servername hostAlias -connect hostAlias.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

Trong đó hostAlias là bí danh máy chủ lưu trữ của máy chủ ảo hoặc địa chỉ IP. Ví dụ:

echo | openssl s_client -servername api.myCompany.com -connect api.myCompany.com:443 2>/dev/null | openssl x509 -noout -dates -subject

Bạn sẽ thấy kết quả trong biểu mẫu:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

Sử dụng lệnh tương tự sau khi bạn cập nhật chứng chỉ để kiểm tra chứng chỉ đó.

Cập nhật chứng chỉ TLS trong kho khoá

Cách triển khai Edge tại chỗ:

  1. Tạo kho khoá mới, rồi tải chứng chỉ và khoá lên theo mô tả tại Kho khoá và Cửa hàng tin cậy. Trong kho khoá mới, hãy đảm bảo rằng bạn sử dụng cùng một tên cho bí danh khoá như đã dùng trong kho khoá hiện có.

    Lưu ý: Bạn có thể xoá kho khoá hiện tại rồi tạo một kho khoá mới bằng cùng một kho khoá tên và bí danh. Không cần khởi động lại Bộ định tuyến. Tuy nhiên, các yêu cầu API sẽ không thực hiện được cho đến kho khoá mới và bí danh đã được đặt.
  2. Đối với máy chủ ảo được một kết nối đến sử dụng, nghĩa là yêu cầu API vào Edge:
    1. Nếu máy chủ ảo của bạn sử dụng tệp tham chiếu đến kho khoá, hãy cập nhật tệp tham chiếu dưới dạng được mô tả trong Hoạt động có tệp đối chiếu.
    2. Nếu máy chủ ảo của bạn sử dụng tên trực tiếp của kho khoá:
      1. Cập nhật mọi máy chủ ảo đã tham chiếu kho khoá và bí danh khoá cũ thành tham chiếu kho khoá mới và bí danh khoá.
      2. Khởi động lại lần lượt từng Bộ định tuyến. Xin lưu ý rằng nếu bạn đã xoá kho khoá cũ và đã tạo một kho khoá mới có cùng tên, thì không cần khởi động lại Bộ định tuyến.

        Bạn không cần triển khai lại proxy.
  3. Đối với điểm cuối/máy chủ mục tiêu mà các kết nối ra ngoài sử dụng, nghĩa là từ Apigee sang máy chủ phụ trợ:
    1. Nếu điểm cuối/máy chủ mục tiêu sử dụng tệp tham chiếu đến kho khoá, hãy cập nhật tham chiếu như mô tả trong Làm việc với tệp đối chiếu. Bạn không cần triển khai lại proxy.
    2. Nếu điểm cuối/máy chủ mục tiêu sử dụng biến luồng, hãy cập nhật biến luồng. Không triển khai lại proxy.
    3. Nếu điểm cuối/máy chủ mục tiêu sử dụng tên trực tiếp của kho khoá:
      1. Cập nhật điểm cuối mục tiêu/cấu hình máy chủ mục tiêu cho mọi proxy API đã tham chiếu kho khoá và bí danh khoá cũ để tham chiếu kho khoá và khoá mới bí danh.
      2. Đối với mọi proxy API tham chiếu kho khoá từ định nghĩa TargetEndpoint, bạn phải triển khai lại proxy.

        Nếu TargetEndpoint tham chiếu đến định nghĩa TargetServer và TargetServer tham chiếu kho khoá, thì không cần triển khai lại proxy.
      3. Nếu kho khoá được sử dụng cho TLS hai chiều giữa Edge và dịch vụ phụ trợ, và bạn đã xoá/tạo lại kho khoá có cùng tên, bạn phải khởi động lại Edge Bộ xử lý tin nhắn.
  4. Sau khi bạn xác nhận rằng kho khoá mới của mình đang hoạt động đúng cách, hãy xoá kho khoá cũ kho khoá có chứng chỉ và khoá đã hết hạn như mô tả ở trên.

Cập nhật chứng chỉ TLS trong kho lưu trữ tin cậy

Nếu bạn đang sử dụng thông tin tham chiếu đến kho tin cậy, thì quá trình cập nhật chứng chỉ trong kho tin cậy giống như kho khoá như đã trình bày ở trên. Điểm khác biệt duy nhất là:

  • Khi bạn tải chứng chỉ mới lên kho tin cậy mới, tên bí danh không quan trọng đối với kho tin cậy.
  • Nếu chứng chỉ là một phần của chuỗi, thì bạn phải tạo một tệp duy nhất chứa tất cả chứng chỉ và tải tệp đó lên một bí danh duy nhất hoặc tải lên tất cả các chứng chỉ trong chuỗi một cách riêng biệt Trustedstore bằng cách sử dụng một bí danh khác nhau cho mỗi chứng chỉ.

Nếu bạn đang sử dụng tên trực tiếp của kho khoá và kho khoá:

  1. Tải chứng chỉ mới lên kho tin cậy như mô tả trong Kho khoá và Cửa hàng tin cậy. Không cần phải xoá chứng chỉ cũ.
  2. Đối với máy chủ ảo được một kết nối đến sử dụng, nghĩa là yêu cầu API vào Edge, khởi động lại từng Bộ định tuyến một.
  3. Đối với điểm cuối/máy chủ mục tiêu mà kết nối ra ngoài sử dụng, nghĩa là từ Apigee đến máy chủ phụ trợ, hãy khởi động lại từng Trình xử lý tin nhắn Edge bất cứ lúc nào.
  4. Xác nhận rằng kho lưu trữ uy tín mới của bạn đang hoạt động đúng cách.