参照の使用

TLS をサポートするように仮想ホストを構成する際は、参照を使用してキーストアやトラストストアを指定します。参照とは、キーストアやトラストストアの名前を直接指定するのではなく、以下に示すように、キーストアやトラストストアの名前を格納する変数です。

        <SSLInfo>
            <Enabled>true</Enabled>
            <ClientAuthEnabled>false</ClientAuthEnabled>
            <KeyStore>ref://myTestKeystoreRef</KeyStore>
            <KeyAlias>myKeyAlias</KeyAlias>
        </SSLInfo>
    

一般的に、現行のキーストアの証明書は近い将来に期限切れになるため、参照を使用することには、参照の値を変更すれば仮想ホストで使用されるキーストアを変更できるという利点があります。参照の値を変更する際、Edge Router を再起動する必要はありません。

キーストアとトラストストアへの参照のみが使用できます。エイリアスへの参照は使用できません。キーストアへの参照を変更するときは、証明書のエイリアス名が従来のキーストアのものと同じであることを確認します。

キーストアとトラストストアへの参照の使用に関する制限事項

キーストアとトラストストアへの参照を使用する際は、以下の制限事項を考慮する必要があります。

  • SNI をサポートし、Apigee Router 上で SSL を終端している場合にのみ、仮想ホストでキーストアとトラストストアへの参照を使用できます。
  • Apigee Router の前にロードバランサが存在し、ロードバランサ上で TLS を終端している場合は、仮想ホストでキーストアとトラストストアの参照を使用できません。

参照の作成

Edge UI で参照を作成するには:

  1. Edge 管理 UI(https://enterprise.apigee.com)にログインします。
  2. Edge 管理 UI のメニューで、組織の名前を選択します。
  3. Edge UI のバージョンに応じて、次のようにします。
    1. 従来の Edge UI を使用している場合: [APIs] > [Environment Configuration] を選択します。
    2. 新しい Edge UI を使用している場合: [Admin] > [Environment] を選択します。
  4. 環境を選択します(通常は prod または test
  5. [References] タブを選択します。
  6. [+ Reference] ボタンを選択します。次のポップアップが表示されます。
  7. 以下を指定します。
    1. 参照の名前
    2. 参照によって参照されるエンティティ。つまり、キーストア名またはトラストストア名です。
    3. [Save] を選択します。

または、参照の作成 API 呼び出しを使用して、keystoreref という名前の参照を作成します。

    curl -X POST  -H "Content-Type:application/xml" https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/references \
    -d '<ResourceReference name="keystoreref">
        <Refers>myTestKeystore</Refers>
        <ResourceType>KeyStore</ResourceType>
    </ResourceReference>' -u orgAdminEmail:password
    

この参照では、キーストアの名前とそのタイプを指定しています。同じ API 呼び出しを使用して、トラストストアへの参照を作成します。

参照の変更

Edge UI で参照の値を変更するには:

  1. Edge 管理 UI(https://enterprise.apigee.com)にログインします。
  2. Edge 管理 UI のメニューで、組織の名前を選択します。
  3. Edge UI のバージョンに応じて、次のようにします。
    1. 従来の Edge UI を使用している場合: [APIs] > [Environment Configuration] を選択します。
    2. 新しい Edge UI を使用している場合: [Admin] > [Environment] を選択します。
  4. 環境を選択します(通常は prod または test
  5. [References] タブを選択します。
  6. [Reference] タブで、参照の [Edit] ボタンを選択します。
  7. 参照を更新して、新しいキーストアまたはトラストストアを指定します。注意: 新しいキーストアのエイリアス名は、古いキーストアのエイリアス名と同じにしてください。
  8. [Save] を選択します。

別のキーストアを指すように参照を変更し、新しいキーストアのエイリアス名を古いキーストアのエイリアス名と同じにするには、Update Reference API を使用します。

    curl -X PUT -H "Content-Type:application/xml" https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/references/keystoreref \
    -d '<ResourceReference name="keystoreref">
        <Refers>myNewKeystore</Refers>
        <ResourceType>KeyStore</ResourceType>
    </ResourceReference>' -u orgAdminEmail:password