更新私有云的 TLS 证书

您正在查看的是 Apigee Edge 文档。
转到 Apigee X 文档 信息

用于在虚拟主机或目标端点/目标服务器中指定密钥库和信任库的名称的方法决定了执行证书更新的方式。您可以使用以下命令指定密钥库和信任库的名称:

  • 参考文献 - 首选
  • 直接名称
  • 流变量

每种方法对证书更新过程的影响各不相同,如下表所示。

配置类型 如何更新/替换证书 如何更新虚拟主机和目标端点/目标服务器
参考(推荐) 对于密钥库,请使用新名称以及一个与旧别名相同名称的别名来创建新密钥库。

对于信任库,使用新名称创建信任库。

 更新对密钥库或信任库的引用。

无需重启路由器或消息处理器。
流变量(仅限目标端点) 对于密钥库,请使用新名称以及具有相同名称或新名称的别名来创建新密钥库。

对于信任库,使用新名称创建信任库。

 使用新的密钥库、别名或信任库的名称传递更新后的流程变量。

无需重启路由器或消息处理器。
直接 创建新的密钥库、别名、信任库。 更新虚拟主机并重启路由器。

如果目标端点/目标服务器使用信任库,请重新部署代理。
直接 删除密钥库或信任库,然后使用相同的名称重新创建密钥库或信任库。 无需更新虚拟主机,也无需重启路由器。不过,在设置新的密钥库和别名之前,API 请求会失败。

如果密钥库用于 Edge 和后端服务之间的双向 TLS,请重启消息处理器。
直接 仅针对信任库,将新证书上传到信任库。 如果虚拟主机使用信任库,请重启路由器。

如果目标端点/目标服务器使用了信任库,请重启消息处理器。

在更新前后测试证书

在更新当前证书之前,请使用以下 openssl 命令测试该证书:

echo | openssl s_client -servername hostAlias -connect hostAlias.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

其中,hostAlias 是虚拟主机或 IP 地址的主机别名。 例如:

echo | openssl s_client -servername api.myCompany.com -connect api.myCompany.com:443 2>/dev/null | openssl x509 -noout -dates -subject

您会在表单中看到输出:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

更新证书后,使用相同的命令进行测试。

更新密钥库中的 TLS 证书

对于 Edge 的本地部署,请执行以下操作:

  1. 创建新的密钥库并上传证书和密钥,如密钥库和信任库中所述。 在新的密钥库中,请确保密钥别名使用与现有密钥库中相同的名称。

    注意:您可以删除当前的密钥库,然后创建一个具有相同名称和别名的新密钥库。无需重启路由器。不过,在设置新的密钥库和别名之前,API 请求会失败。
  2. 对于入站连接使用的虚拟主机,即发送到 Edge 的 API 请求:
    1. 如果您的虚拟主机使用对密钥库的引用,请按照使用引用中的说明更新该引用。
    2. 如果您的虚拟主机使用密钥库的直接名称,请执行以下操作:
      1. 更新引用旧密钥库和密钥别名的所有虚拟主机,以引用新的密钥库和密钥别名。
      2. 重启路由器,一次一个。请注意,如果您删除了旧的密钥库,并创建了同名的新密钥库,则无需重启路由器。

        无需重新部署代理。
  3. 对于出站连接(即从 Apigee 到后端服务器)使用的目标端点/目标服务器
    1. 如果目标端点/目标服务器使用对密钥库的引用,请按照使用引用中的说明更新该引用。 无需重新部署代理。
    2. 如果目标端点/目标服务器使用流变量,请更新流变量。无需重新部署代理。
    3. 如果目标端点/目标服务器使用密钥库的直接名称:
      1. 更新引用旧密钥库和密钥别名的所有 API 代理的目标端点/目标服务器配置,以引用新的密钥库和密钥别名。
      2. 对于从 TargetEndpoint 定义引用密钥库的任何 API 代理,您必须重新部署该代理。

        如果 TargetEndpoint 引用 TargetServer 定义,且 TargetServer 定义引用密钥库,则不需要重新部署代理。
      3. 如果密钥库用于 Edge 和后端服务之间的双向 TLS,并且您删除/重新创建了同名密钥库,则必须重启 Edge Message Processors。
  4. 确认新的密钥库可正常运行后,请按上文所述删除带有过期证书和密钥的旧密钥库。

更新信任库中的 TLS 证书

如果您使用的是对受信任证书存储区的引用,则更新受信任证书存储区中的证书的过程与更新密钥存储区的过程相同,如上所示。仅有的几点区别如下:

  • 将新证书上传到新的信任库时,别名对信任库无关紧要。
  • 如果证书是链的一部分,则必须创建包含所有证书的单个文件,并将该文件上传到单个别名,或者将链中的所有证书分别上传到信任库(为每个证书使用不同的别名)。

如果您使用的是密钥库和信任库的直接名称,请执行以下操作:

  1. 按照密钥库和信任库中的说明将新证书上传到信任库。无需删除旧证书。
  2. 对于入站连接使用的虚拟主机(即向 Edge 发出 API 请求),请逐个重启路由器。
  3. 对于出站连接(即从 Apigee 到后端服务器)使用的目标端点/目标服务器,请逐个重启边缘消息处理器。
  4. 确认新的信任库运行正常。