4.53.00.02 : notes de version d'Edge pour le cloud privé

Vous consultez la documentation d'Apigee Edge.
Accédez à la documentation sur Apigee X. info

Le 19 décembre 2024, nous avons lancé une nouvelle version d'Apigee Edge pour le cloud privé.

Procédure de mise à jour

Cette section explique comment installer cette version si vous effectuez la mise à jour à partir de la version précédente d'Edge pour le cloud privé. Si vous devez effectuer une mise à jour à partir d'une version antérieure, consultez Appliquer plusieurs versions de correctifs.

La mise à jour de cette version met à jour les composants listés ci-dessous:

  • apigee-nginx-1.26.1-el8.x86_64.rpm
  • apigee-nginx-1.26.1-el9.x86_64.rpm
  • apigee-qpidd-8.0.6-0.0.2534.noarch.rpm
  • apigee-sso-4.53.00-0.0.21506.noarch.rpm
  • apigee-tomcat-9.0.86-0.0.948.noarch.rpm

Pour vérifier si les versions RPM actuellement installées doivent être mises à jour, saisissez:

apigee-all version

Pour mettre à jour votre installation, procédez comme suit sur les nœuds Edge:

  1. Sur tous les nœuds Edge:

    1. Nettoyez les dépôts Yum: 
      sudo yum clean all
    2. Téléchargez le dernier fichier bootstrap_4.53.00.sh d'Edge 4.53.00 dans /tmp/bootstrap_4.53.00.sh: 
      curl https://software.apigee.com/bootstrap_4.53.00.sh -o /tmp/bootstrap_4.53.00.sh
    3. Installez l'utilitaire apigee-service et les dépendances d'Edge 4.53.00: 
      sudo bash /tmp/bootstrap_4.53.00.sh apigeeuser=uName apigeepassword=pWord

      uName et pWord sont le nom d'utilisateur et le mot de passe que vous avez reçus d'Apigee. Si vous omettez pWord, vous serez invité à le saisir.

    4. Utilisez la commande source pour exécuter le script apigee-service.sh: 
      source /etc/profile.d/apigee-service.sh
  2. Sur tous les nœuds Qpid, exécutez le script update.sh: 
    /opt/apigee/apigee-setup/bin/update.sh -c qpid -f configFile
  3. Sur les nœuds SSO, suivez la procédure décrite dans la section Procédure à suivre pour mettre à jour Apigee SSO à partir d'anciennes versions:
    4. /opt/apigee/apigee-setup/bin/update.sh -c sso -f configFile

Procédure de mise à jour d'Apigee SSO à partir d'anciennes versions

Dans Edge for Private Cloud 4.53.00, les clés et les certificats de l'IDP utilisés dans le composant apigee-sso sont désormais configurés via un keystore. Vous devrez exporter la clé et le certificat utilisés précédemment dans un keystore, le configurer, puis procéder à la mise à jour du SSO comme d'habitude.

  1. Identifiez la clé et le certificat existants utilisés pour configurer l'IDP :

    1. Récupérez le certificat en recherchant la valeur de SSO_SAML_SERVICE_PROVIDER_CERTIFICATE dans le fichier de configuration d'installation du SSO ou en interrogeant le composant apigee-sso pour conf_login_service_provider_certificate.

      Utilisez la commande suivante sur le nœud SSO pour interroger apigee-sso sur le chemin d'accès au certificat de l'IDP. Dans la sortie, recherchez la valeur sur la dernière ligne.

      apigee-service apigee-sso configure -search conf_login_service_provider_certificate

    2. Récupérez la clé en recherchant la valeur de SSO_SAML_SERVICE_PROVIDER_KEY dans le fichier de configuration d'installation de l'authentification unique ou en interrogeant le composant apigee-sso pour conf_login_service_provider_key.

      Utilisez la commande suivante sur le nœud SSO pour interroger apigee-sso sur le chemin d'accès de la clé de l'IDP. Dans la sortie, recherchez la valeur sur la dernière ligne. 

      apigee-service apigee-sso configure -search conf_login_service_provider_key
  2. Exportez la clé et le certificat vers un keystore :
    1. Exportez la clé et le certificat vers un keystore PKCS12: 
      sudo openssl pkcs12 -export -clcerts -in <certificate_path> -inkey <key_path> -out <keystore_path> -name <alias>

      Paramètres :

      • certificate_path: chemin d'accès au fichier de certificat récupéré à l'étape 1.a.
      • key_path: chemin d'accès au fichier de clé privée récupéré à l'étape 1.b.
      • keystore_path: chemin d'accès au keystore nouvellement créé contenant le certificat et la clé privée.
      • alias: alias utilisé pour la paire de clé et de certificat dans le keystore.

      Pour en savoir plus, consultez la documentation OpenSSL.

    2. (Facultatif) Exporter la clé et le certificat PKCS12 vers un keystore JKS: 
      sudo keytool -importkeystore -srckeystore <PKCS12_keystore_path> -srcstoretype PKCS12 -destkeystore <destination_keystore_path> -deststoretype JKS -alias <alias>

      Paramètres :

      • PKCS12_keystore_path: chemin d'accès au keystore PKCS12 créé à l'étape 2.a, contenant le certificat et la clé.
      • destination_keystore_path: chemin d'accès au nouveau keystore JKS dans lequel le certificat et la clé seront exportés.
      • alias: alias utilisé pour la paire de clé et de certificat dans le keystore JKS.

      3. Pour en savoir plus, consultez la documentation keytool.

  3. Définissez l'utilisateur "apigee" comme propriétaire du fichier keystore de sortie: 
    sudo chown apigee:apigee <keystore_file>
  4. Ajoutez les propriétés suivantes dans le fichier de configuration de l'authentification unique Apigee et mettez-les à jour avec le chemin d'accès au fichier de keystore, le mot de passe, le type de keystore et l'alias: 
    # Path to the keystore file
SSO_SAML_SERVICE_PROVIDER_KEYSTORE_PATH=${APIGEE_ROOT}/apigee-sso/source/conf/keystore.jks

# Keystore password
SSO_SAML_SERVICE_PROVIDER_KEYSTORE_PASSWORD=Secret123  # Password for accessing the keystore

# Keystore type
SSO_SAML_SERVICE_PROVIDER_KEYSTORE_TYPE=JKS  # Type of keystore, e.g., JKS, PKCS12

# Alias within keystore that stores the key and certificate
SSO_SAML_SERVICE_PROVIDER_KEYSTORE_ALIAS=service-provider-cert
  5. Mettez à jour le logiciel SSO Apigee sur le nœud SSO comme d'habitude à l'aide de la commande suivante: 
    /opt/apigee/apigee-setup/bin/update.sh -c sso -f /opt/silent.conf

Correction de bugs

Cette section répertorie les bugs du cloud privé qui ont été corrigés dans cette version.

ID du problème Description
379446933 Correction du problème qui empêchait nginx de se lier au port 443.

Problèmes de sécurité résolus

Vous trouverez ci-dessous la liste des problèmes de sécurité connus qui ont été résolus dans cette version. Pour éviter ces problèmes, installez la dernière version d'Edge Private Cloud.

ID du problème Description
344961470 Correction du portail de gestion QPID pour une faille XSS.

Modifications apportées aux logiciels compatibles

Aucune compatibilité avec de nouveaux logiciels n'a été incluse dans cette version.

Abandons et suppressions

Aucune fonctionnalité n'est abandonnée ni mise à l'arrêt dans cette version.

Nouvelles fonctionnalités

Cette section liste les nouvelles fonctionnalités de cette version.

ID du problème Description
379125083 Activation de la fonctionnalité d'authentification unique (SSO) dans les environnements RHEL-8 compatibles avec FIPS.
379125495 L'authentification unique accepte désormais les clés et les certificats pour l'IDP au format keystore.

Problèmes connus

Pour obtenir la liste complète des problèmes connus, consultez la section Problèmes connus avec Edge pour le cloud privé.

Appliquer plusieurs versions de correctifs

Cette section explique comment appliquer plusieurs versions de correctifs, au cas où vous effectuiez la mise à jour à partir d'une version d'Edge pour Private Cloud antérieure à la version de correctif précédente.

Chaque version de correctif contient des mises à jour de composants spécifiques d'Edge pour le cloud privé, tels que edge-management-server. Pour appliquer plusieurs versions de correctifs, vous devez mettre à jour chaque composant Edge inclus dans une version de correctif ultérieure à la version actuellement installée. Pour trouver ces composants, consultez les notes de version d'Edge pour le cloud privé pour toutes les versions ultérieures à la vôtre, puis vérifiez la liste des RPM de ces versions. Consultez les notes de version d'Apigee pour obtenir des liens vers toutes les notes de version d'Edge pour Private Cloud.

Remarque:Vous n'avez besoin de mettre à jour chaque composant qu'une seule fois, en installant le RPM de la dernière version du composant inclus dans les correctifs. Suivez les instructions des notes de version de cette version pour mettre à jour le composant.

Remarque:La mise à niveau d'un composant installe automatiquement la dernière version de correctif du composant. Si vous souhaitez passer à une version de correctif qui n'est pas la dernière, vous devez gérer votre propre copie tarball du dépôt d'Apigee à l'aide du miroir Apigee, et utiliser ce miroir pour les installations d'Apigee. Pour en savoir plus, consultez Utiliser un dépôt Edge local pour gérer votre version d'Edge.