Oracle Cloud Infrastructure - Dokumentation

Benutzerdefinierte Domains und TLS-Zertifikate einrichten

Erfahren Sie, wie Sie mit dem API-Gateway benutzerdefinierte Domains und TLS-Zertifikate einrichten.

Die API-Gateways, die Sie mit dem API Gateway-Service erstellen, sind TLS-fähig und erfordern daher TLS-Zertifikate (früher SSL-Zertifikate), die von einer Certificate Authority ausgegeben wurden, um sie zu sichern. Sie können den API-Gateway-Service anweisen, ein Standard-TLS-Zertifikat für Sie abzurufen (wenn Ihr Mandant in der Realm OC1 vorhanden ist), oder Sie können selbst ein benutzerdefiniertes TLS-Zertifikat von einer Certificate Authority abrufen. Um einen bestimmten benutzerdefinierten Domainnamen für ein API-Gateway anzugeben, müssen Sie ein benutzerdefiniertes TLS-Zertifikat abrufen, anstatt den API Gateway-Service ein Standard-TLS-Zertifikat abrufen zu lassen.

Wenn Sie ein API-Gateway erstellen, geben Sie an, das dass das API-Gateway eines der folgenden Zertifikate verwendet:

  • Ein Standard-TLS-Zertifikat, das der API Gateway-Service für Sie abfragt (nur Realm OC1). In diesem Fall fordert der API Gateway-Service ein TLS-Zertifikat von einer von Oracle definierten Certificate Authority an.
  • Ein benutzerdefiniertes TLS-Zertifikat, das Sie selbst von der ausgewählten Certificate Authority abrufen. Ihre Anforderung an die Certificate Authority enthält den benutzerdefinierten Domainnamen. Die Certificate Authority gibt eine Datei zurück, die das benutzerdefinierte TLS-Zertifikat enthält, und normalerweise mindestens eine Datei mit Zwischenzertifikaten, die eine Zertifikatskette vom TLS-Zertifikat zurück zur Certificate Authority bilden.

Sie haben mehrere Möglichkeiten, ein benutzerdefiniertes TLS-Zertifikat zu erhalten:

  • Sie können ein benutzerdefiniertes TLS-Zertifikat von einer Certificate Authority eines Drittanbieters abrufen und dann eine API Gateway-Zertifikatsressource erstellen, die das benutzerdefinierte TLS-Zertifikat, die Zwischenzertifikate und den Private Key zur Generierung des TLS-Zertifikats enthält. Sie können diese API Gateway-Zertifikatressource dann auswählen, wenn Sie ein neues API-Gateway erstellen.
  • Mit dem Certificates-Service können Sie ein benutzerdefiniertes TLS-Zertifikat abrufen, um eine Zertifikatsressource zu erstellen. Der Certificates-Service kann ein Zertifikat direkt ausstellen, oder Sie können ein von einer Certificate Authority eines Drittanbieters ausgestelltes Zertifikat in den Certificates-Service importieren. Sie können diese Zertifikatsressource des Certificates-Service dann beim Erstellen eines neuen API-Gateways auswählen.

Die Methode zum Abrufen des TLS-Zertifikats bestimmt, wie viel Kontrolle Sie über den Domainnamen des API-Gateways haben:

  • Wenn der API Gateway-Service ein Standard-TLS-Zertifikat für Sie abruft (nur OC1-Realm), erhält das API-Gateway vom API Gateway-Service einen automatisch generierten Standarddomainnamen. Der automatisch generierte Standarddomainname besteht aus einer Zufallszeichenfolge gefolgt von .apigateway.<region-identifier>.oci.customer-oci.com. Beispiel: laksjd.apigateway.us-phoenix-1.oci.customer-oci.com.
  • Wenn Sie selbst ein benutzerdefiniertes TLS-Zertifikat abrufen, erhält das API-Gateway vom API Gateway-Service den benutzerdefinierten Domainnamen, den Sie in Ihrer Anforderung an die Certificate Authority angegeben haben.

Die Methode zum Abrufen des TLS-Zertifikats bestimmt auch die Verantwortung für die Erfassung der Zuordnung zwischen dem Domainnamen des API-Gateways und seiner öffentlichen IP-Adresse bei einem DNS-Provider:

  • Wenn der API Gateway-Service ein Standard-TLS-Zertifikat für Sie abruft (nur OC1-Realm), übernimmt der API Gateway-Service die Verantwortung für die Erfassung der Zuordnung zwischen dem automatisch generierten Standarddomainnamen des API-Gateways und seiner öffentlichen IP-Adresse beim Oracle Cloud Infrastructure DNS-Service.
  • Wenn Sie selbst ein benutzerdefiniertes TLS-Zertifikat abrufen, sind Sie für die Erfassung der Zuordnung zwischen dem benutzerdefinierten Domainnamen des API-Gateways und seiner öffentlichen IP-Adresse beim ausgewählten DNS-Provider als A-Datensatz verantwortlich.

Ebenso ist das Handling von Ablauf und Erneuerung des TLS-Zertifikats davon abhängig, wie das TLS-Zertifikat ursprünglich abgerufen wird:

  • Wenn der API Gateway-Service ein Standard-TLS-Zertifikat für Sie abruft (nur OC1-Realm), erneuert der API Gateway-Service das TLS-Zertifikat automatisch bei der von Oracle definierten Certificate Authority, bevor es abläuft.
  • Wenn Sie selbst ein benutzerdefiniertes TLS-Zertifikat abrufen, sind Sie für die Erneuerung des TLS-Zertifikats bei der ausgewählten Certificate Authority verantwortlich, bevor es abläuft. Siehe Von API-Gateways verwendete benutzerdefinierte TLS-Zertifikate erneuern.

Für einige Kunden ist die Verwendung benutzerdefinierter Domains und TLS-Zertifikate obligatorisch. Beispiel: Wenn Sie Oracle Cloud Infrastructure Government Cloud verwenden, müssen Sie:

  • ein TLS-Zertifikat von einer bestimmten, genehmigten Certificate Authority abrufen
  • einen bestimmten, genehmigten DNS-Provider verwenden

Für andere Kunden ist die Verwendung benutzerdefinierter Domains wahrscheinlich von kommerziellen Anforderungen abhängig. Beispiel: In der Regel möchten Sie Ihren Firmennamen in den Domainnamen des API-Gateway aufnehmen, anstatt die automatisch generierte zufällige Zeichenfolge gefolgt von .apigateway.<region-identifier>.oci.customer-oci.com zu verwenden.

Beachten Sie dabei Folgendes:

  • Sie können keine API Gateway-Zertifikatressource oder Zertifikatsressource des Certificates-Service löschen, die derzeit von einem API-Gateway verwendet werden. Um die Zertifikatressource zu löschen, müssen Sie sie zuerst aus allen API-Gateways entfernen, die sie verwenden.
  • Sie können nur eine API Gateway-Zertifikatressource oder eine Certificates-Servicezertifikatressource für ein API-Gateway angeben.
  • Sie können eine API Gateway-Zertifikatsressource nicht aktualisieren, nachdem Sie sie erstellt haben. Sie können jedoch eine Zertifikatressource des Certificates-Service aktualisieren.
  • Sie können den API Gateway-Service nur anweisen, Standard-TLS-Zertifikate für Sie abzurufen, wenn Ihr Mandant in der Realm OC1 vorhanden ist.
Wichtig

Für öffentliche oder Produktionssysteme empfiehlt Oracle, benutzerdefinierte TLS-Zertifikate zu verwenden. Oracle empfiehlt, vom API Gateway-Service abgerufene Standard-TLS-Zertifikate nur für private oder Nicht-Produktionssysteme zu verwenden (z.B. für Entwicklung und Test).

Benutzerdefiniertes TLS-Zertifikat zum Einrichten eines benutzerdefinierten Domainnamens für ein API-Gateway abrufen

Sie können einen benutzerdefinierten Domainnamen und ein benutzerdefiniertes TLS-Zertifikat auf mehrere Arten einrichten:

Mit einer API-Gateway-Zertifikatsressource einen benutzerdefinierten Domainnamen für ein API-Gateway einrichten

So verwenden Sie eine API-Gateway-Zertifikatsressource zum Einrichten eines benutzerdefinierten Domainnamens für ein API-Gateway:

Schritt 1: TLS-Zertifikat von der ausgewählten Certificate Authority abrufen

Die genauen Schritte zum Abrufen eines TLS-Zertifikats sind je nach der ausgewählten Certificate Authority unterschiedlich. Im Allgemeinen entsprechen die Schritte wahrscheinlich den folgenden Anweisungen. Weitere Informationen finden Sie in der Dokumentation der jeweiligen Certificate Authority:

  1. Erstellen Sie einen Certificate Signing Request für die ausgewählte Certificate Authority.

    In der Regel enthält diese Signieranforderung Informationen wie den Organisationsnamen, die Lokalität und das Land.

    Außerdem enthält der Certificate Signing Request einen allgemeinen Namen wie den vollqualifizierten Domainnamen der Site, die Sie sichern möchten. Der allgemeine Name verbindet das TLS-Zertifikat normalerweise mit einer bestimmten Domain. Dieser Domainname wird als benutzerdefinierter Domainname für API-Gateways verwendet.

    Wenn Sie einen Certificate Signing Request erstellen, wird der Anforderung ein Public Key hinzugefügt. Außerdem wird ein entsprechender Private Key generiert und in einer lokalen Datei gespeichert. Sie verwenden diesen Private Key, wenn Sie eine API Gateway-Zertifikatsressource einrichten. Notieren Sie sich daher den Speicherort. Der Private Key, mit dem Sie ein TLS-Zertifikat abrufen:

    • muss ein RSA-Schlüssel sein
    • muss im PEM-codierten X.509-Format angegeben sein
    • muss mit -----BEGIN RSA PRIVATE KEY----- beginnen
    • muss mit -----END RSA PRIVATE KEY----- enden
    • darf nicht durch eine Passphrase geschützt sein
    • muss mindestens 2048 Bit lang sein und darf 4096 Bit nicht überschreiten

  2. Leiten Sie den Certificate Signing Request an die Certificate Authority weiter.

    Die Certificate Authority gibt Folgendes zurück:

    • Eine Datei mit dem benutzerdefinierten TLS-Zertifikat für das API-Gateway selbst (auch als "Blattzertifikat" oder "End-Entity-Zertifikat" bezeichnet)
    • Normalerweise mindestens eine Datei mit Zwischenzertifikaten, die eine Zertifikatskette vom Blattzertifikat zurück zur Certificate Authority bilden

Mit diesen Zertifikatsdateien können Sie jetzt eine API Gateway-Zertifikatsressource erstellen.

Schritt 2: API Gateway-Zertifikatressource erstellen

Eine API Gateway-Zertifikatsressource ist eine benannte Definition eines TLS-Zertifikats, das Sie beim Erstellen oder Aktualisieren eines API-Gateways mit dem API Gateway-Service verwenden können.

Eine API Gateway-Zertifikatsressource umfasst:

  • einen Namen Ihrer Wahl für die Zertifikatsressource selbst
  • das benutzerdefinierte TLS-Zertifikat für das API-Gateway (das "Blattzertifikat" oder "End-Entity-Zertifikat"), das von der Certificate Authority zurückgegeben wurde
  • alle Zwischenzertifikate, die eine Zertifikatskette vom Blattzertifikat zurück zur Certificate Authority bilden
  • den Private Key zusammen mit dem Public Key, der im ursprünglichen Certificate Signing Request enthalten war

Beachten Sie, dass Sie eine API Gateway-Zertifikatsressource nicht aktualisieren können, nachdem Sie sie erstellt haben.

Sie können eine API Gateway-Zertifikatsressource mit der Konsole oder der CLI erstellen.

Konsole verwenden

So erstellen Sie eine API Gateway-Zertifikatsressource mit der Konsole:

  1. Wählen Sie auf der Listenseite Zertifikate die Option Zertifikat erstellen aus. Wenn Sie Hilfe bei der Suche nach der Listenseite benötigen, finden Sie weitere Informationen unter API Gateway-Zertifikatsressourcen auflisten.

  2. Geben Sie die folgenden Werte für die API Gateway-Zertifikatsressource an:

    • Name: Der Name der neuen API Gateway-Zertifikatsressource. Vermeiden Sie die Eingabe von vertraulichen Informationen.
    • Zertifikat: Das von der Certificate Authority zurückgegebene benutzerdefinierte TLS-Zertifikat (das "Blattzertifikat" oder "End-Entity-Zertifikat"). Sie können ein gültiges TLS-Zertifikat per Drag-and-Drop verschieben, auswählen oder einfügen. Das angegebene TLS-Zertifikat:
      • muss im PEM-codierten X.509-Format angegeben sein
      • muss mit -----BEGIN CERTIFICATE----- beginnen
      • muss mit -----END CERTIFICATE----- enden
      • darf nicht länger als 4096 Bit sein

    • Zwischenzertifikate: (Optional) Wenn mindestens ein Zwischenzertifikat eine Zertifikatskette vom TLS-Zertifikat zurück zur Certificate Authority bildet, fügen Sie den Inhalt der Zwischenzertifikatsdateien in der richtigen Reihenfolge ein. Die richtige Reihenfolge beginnt unten mit dem Zertifikat, das direkt von der vertrauenswürdigen Root Certificate Authority signiert wurde. Zusätzliche Zertifikate werden direkt über der Certificate Authority angegeben, von der sie signiert wurden. Beispiel:

      -----BEGIN CERTIFICATE-----
<PEM_encoded_certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<PEM_encoded_certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<PEM_encoded_certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<PEM_encoded_certificate>
-----END CERTIFICATE-----

      Wenn Sie den Inhalt von Zwischenzertifikatsdateien in der richtigen Reihenfolge zu einer einzelnen Zertifikatskettendatei verkettet haben, können Sie diese Datei per Drag-and-Drop verschieben, sie auswählen oder ihren Inhalt einfügen.

      Wenn Sie keine verkettete Zertifikatskettendatei verwenden, fügen Sie den Inhalt der einzelnen Zertifikatsdateien in der richtigen Reihenfolge ein.

      Die kombinierte Länge der angegebenen Zwischenzertifikate darf 10240 Bit nicht überschreiten.

    • Private Key: Der Private Key, mit dem das TLS-Zertifikat von der Certificate Authority abgerufen wird. Sie können einen gültigen Private Key per Drag-and-Drop verschieben, auswählen oder in dieses Feld einfügen. Der angegebene Schlüssel:
      • muss ein RSA-Schlüssel sein
      • muss im PEM-codierten X.509-Format angegeben sein
      • muss mit -----BEGIN RSA PRIVATE KEY----- beginnen
      • muss mit -----END RSA PRIVATE KEY----- enden
      • darf nicht durch eine Passphrase geschützt sein
      • muss mindestens 2048 Bit lang sein und darf 4096 Bit nicht überschreiten
  3. Wählen Sie Erstellen aus, um die API Gateway-Zertifikatsressource zu erstellen.

CLI verwenden

So erstellen Sie eine API Gateway-Zertifikatsressource mit der CLI:

  1. Konfigurieren Sie die Clientumgebung zur Verwendung der CLI (Clientumgebung zur Verwendung der CLI für API-Gateway-Entwicklung konfigurieren).

  2. Öffnen Sie eine Eingabeaufforderung, und führen Sie oci api-gateway certificate create aus, um die API Gateway-Zertifikatsressource zu erstellen:

    oci api-gateway certificate create --display-name "<certificate-name>" --compartment-id <compartment-ocid> --certificate-file <certificate-file-path> --intermediate-certificates-file <intermediate-certificates-file-path> --private-key-file <private-key-file-path>

    Dabei gilt:

    • <certificate-name> ist der Name der neuen API Gateway-Zertifikatsressource. Vermeiden Sie die Eingabe von vertraulichen Informationen.
    • <compartment-ocid> ist die OCID des Compartments, zu dem die neue API Gateway-Zertifikatsressource gehört.

    • <certificate-file-path> ist der Pfad und der Name der Datei, die das Blattzertifikat enthält, das von der Certificate Authority zurückgegeben wird. Beispiel: ~/.certs/cert.pem. Das Blattzertifikat in der angegebenen Datei:

      • muss im PEM-codierten X.509-Format angegeben sein
      • muss mit -----BEGIN CERTIFICATE----- beginnen
      • muss mit -----END CERTIFICATE----- enden
      • darf nicht länger als 4096 Bit sein

    • <intermediate-certificates-file-path> ist optional der Pfad und der Name einer Datei mit mindestens einem Zwischenzertifikat, das eine Zertifikatskette vom Blattzertifikat zurück zur Certificate Authority bildet. Beispiel: ~/.certs/int_cert.pem. Wenn die Datei mehrere Zwischenzertifikate enthält, müssen die Zwischenzertifikate in der richtigen Reihenfolge angegeben sein. Die richtige Reihenfolge endet mit dem Zertifikat, das direkt von der vertrauenswürdigen Root Certificate Authority signiert wurde. Zusätzliche Zertifikate werden direkt vor der Certificate Authority angegeben, von der sie signiert wurden. Beispiel: 

      -----BEGIN CERTIFICATE-----<PEM_encoded_certificate>-----END CERTIFICATE----------BEGIN CERTIFICATE-----<PEM_encoded_certificate>-----END CERTIFICATE----------BEGIN CERTIFICATE-----<PEM_encoded_certificate>-----END CERTIFICATE----------BEGIN CERTIFICATE-----<PEM_encoded_certificate>-----END CERTIFICATE-----

      Die kombinierte Länge der angegebenen Zwischenzertifikate darf 10240 Bit nicht überschreiten.

    • <private-key-file-path> ist der Pfad und der Name der Datei, die den Private Key enthält, mit dem das TLS-Zertifikat von der Certificate Authority abgerufen wird. Beispiel: ~/.certs/key.pem. Der Private Key in der angegebenen Datei:

      • muss ein RSA-Schlüssel sein
      • muss im PEM-codierten X.509-Format angegeben sein
      • muss mit -----BEGIN RSA PRIVATE KEY----- beginnen
      • muss mit -----END RSA PRIVATE KEY----- enden
      • darf nicht durch eine Passphrase geschützt sein
      • muss mindestens 2048 Bit lang sein und darf 4096 Bit nicht überschreiten

    Beispiel:

    oci api-gateway certificate create --display-name "Acme gateway certificate" --compartment-id ocid1.compartment.oc1..aaaaaaaa7______ysq --certificate-file ~/.certs/cert.pem --private-key-file ~/.certs/key.pem

    Die Antwort auf den Befehl umfasst Folgendes:

    • Die OCID der neuen API Gateway-Zertifikatsressource.
    • Den Lebenszyklusstatus (Beispiel: ACTIVE, FAILED).
    • Die ID der Arbeitsanforderung zum Erstellen der API Gateway-Zertifikatsressource (Details der Arbeitsanforderungen sind für sieben Tage nach Abschluss, Abbruch oder Fehler verfügbar).

    Wenn der Befehl die Steuerung erst dann zurückgeben soll, wenn die API Gateway-Zertifikatsressource aktiv ist (oder die Anforderung nicht erfolgreich war), nehmen Sie einen oder beide der folgenden Parameter auf:

    • --wait-for-state ACTIVE
    • --wait-for-state FAILED

    Beispiel:

    oci api-gateway certificate create --display-name "Acme gateway certificate" --compartment-id ocid1.compartment.oc1..aaaaaaaa7______ysq --certificate-file ~/.certs/cert.pem --private-key-file ~/.certs/key.pem --wait-for-state ACTIVE

Weitere Informationen zur Verwendung der CLI finden Sie unter Befehlszeilenschnittstelle (CLI). Eine vollständige Liste der Flags und Optionen, die für CLI-Befehle verfügbar sind, finden Sie in der CLI-Hilfe.

Schritt 3: API Gateway-Zertifikatsressource beim Erstellen eines API-Gateways angeben

So geben Sie die API Gateway-Zertifikatsressource beim Erstellen eines API-Gateways an:

  1. Folgen Sie den Anweisungen unter API-Gateway erstellen, um ein API-Gateway mit der Konsole oder der CLI zu erstellen.

  2. Geben Sie die API Gateway-Zertifikatsressource wie in den Anweisungen beschrieben an:

    • Wenn Sie die Konsole nutzen: Verwenden Sie das Feld Zertifikat.
    • Wenn Sie die CLI verwenden: Legen Sie die Eigenschaft --certificate-id <certificate-ocid> fest.

    Der API Gateway-Service erstellt das neue API-Gateway und installiert das benutzerdefinierte TLS-Zertifikat und den Private Key.

  3. Rufen Sie die öffentliche IP-Adresse des API-Gateways ab.
Schritt 4: Erfassen Sie die Zuordnung zwischen dem benutzerdefinierten API-Gateway-Domainnamen und der öffentlichen IP-Adresse beim ausgewählten DNS-Provider

Die genauen Schritte zum Erfassen der Zuordnung zwischen dem benutzerdefinierten Domainnamen eines API-Gateways und seiner öffentlichen IP-Adresse hängen vom ausgewählten DNS-Provider ab. Normalerweise erstellen Sie einen neuen Datensatz (insbesondere einen neuen A-Datensatz) in der Konfiguration des DNS-Providers. Der Datensatz verknüpft den Domainnamen, den Sie beim Anfordern des TLS-Zertifikats von der ausgewählten Certificate Authority konfiguriert haben, mit der öffentlichen IP-Adresse, die der API Gateway-Service dem neuen API-Gateway zuweist. Weitere Informationen finden Sie in der Dokumentation des ausgewählten DNS-Providers.

Zertifikatsressource für Certificates-Service zum Einrichten eines benutzerdefinierten Domainnamens für ein API-Gateway verwenden

So verwenden Sie eine Zertifikatsressource des Certificates-Service zum Einrichten eines benutzerdefinierten Domainnamens für ein API-Gateway:

Schritt 1: Zertifikatsressource für Certificates Service erstellen

Sie können den Certificates-Service auf mehrere Arten verwenden, um eine Zertifikatsressource beim Einrichten eines benutzerdefinierten Domainnamens für ein API-Gateway zu erstellen:

  • Mit dem Certificates-Service können Sie ein TLS-Zertifikat ausstellen, das Sie intern mit dem Certificates-Service verwalten möchten. Weitere Informationen zum Erstellen einer Certificates-Servicezertifikatsressource auf diese Weise finden Sie unter Zertifikate erstellen.
  • Mit dem Certificates-Service können Sie ein TLS-Zertifikat importieren, das von einer externen Certificate Authority ausgestellt wurde und das Sie intern mit dem Certificates-Service verwalten möchten. Weitere Informationen zum Erstellen einer Zertifikatsressource des Certificates-Service auf diese Weise finden Sie unter Zertifikat importieren.

Beachten Sie, dass Sie zwar mit dem Certificates-Service ein TLS-Zertifikat ausstellen können, das Sie extern mit einer Drittanbieter-Certificate Authority verwalten möchten, ein solches extern verwaltetes TLS-Zertifikat jedoch nicht verwenden können, wenn Sie einen benutzerdefinierten Domainnamen für ein API-Gateway einrichten.

Beachten Sie auch Folgendes:

  • Das TLS-Zertifikat:
    • muss im PEM-codierten X.509-Format angegeben sein
    • muss mit -----BEGIN CERTIFICATE----- beginnen
    • muss mit -----END CERTIFICATE----- enden
    • darf nicht länger als 4096 Bit sein
  • Das TLS-Zertifikat muss wie folgt mit einem der unterstützten Zertifikatsprofiltypen erstellt worden sein:
    • Unterstützte Zertifikatprofiltypen: TLS-Server oder -Client; TLS-Server.
    • Nicht unterstützte Zertifikatprofiltypen: TLS-Client; TLS-Codezeichen.
  • Der Private Key, mit dem das TLS-Zertifikat abgerufen wird:
    • muss ein RSA-Schlüssel sein
    • muss im PEM-codierten X.509-Format angegeben sein
    • muss mit -----BEGIN RSA PRIVATE KEY----- beginnen
    • muss mit -----END RSA PRIVATE KEY----- enden
    • darf nicht durch eine Passphrase geschützt sein
    • muss mindestens 2048 Bit lang sein und darf 4096 Bit nicht überschreiten
Schritt 2: Zertifikatsressource für den Certificates-Service beim Erstellen eines API-Gateways angeben

So geben Sie die Zertifikatsressource des Certificates-Service beim Erstellen eines API-Gateways an:

  1. Folgen Sie den Anweisungen unter API-Gateway erstellen, um ein API-Gateway mit der Konsole oder der CLI zu erstellen.

  2. Geben Sie die Zertifikatressource des Certificates-Service an, wie in den Anweisungen beschrieben:

    • Wenn Sie die Konsole nutzen: Verwenden Sie das Feld Zertifikat.
    • Wenn Sie die CLI verwenden: Legen Sie die Eigenschaft --certificate-id <certificate-ocid> fest.

    Der API Gateway-Service erstellt das neue API-Gateway und installiert das benutzerdefinierte TLS-Zertifikat und den Private Key.

  3. Rufen Sie die öffentliche IP-Adresse des API-Gateways ab.
Schritt 3: Zuordnung zwischen dem benutzerdefinierten Domainnamen und der öffentlichen IP-Adresse des API-Gateways beim ausgewählten DNS-Provider erfassen

Die genauen Schritte zum Erfassen der Zuordnung zwischen dem benutzerdefinierten Domainnamen eines API-Gateways und seiner öffentlichen IP-Adresse hängen vom ausgewählten DNS-Provider ab. Normalerweise erstellen Sie einen neuen Datensatz (insbesondere einen neuen A-Datensatz) in der Konfiguration des DNS-Providers. Der Datensatz verknüpft den Domainnamen, den Sie beim Anfordern des TLS-Zertifikats von der ausgewählten Certificate Authority konfiguriert haben, mit der öffentlichen IP-Adresse, die der API Gateway-Service dem neuen API-Gateway zuweist. Weitere Informationen finden Sie in der Dokumentation des ausgewählten DNS-Providers.

Von API-Gateways verwendete benutzerdefinierte TLS-Zertifikate erneuern

TLS-Zertifikate sind für einen begrenzten Zeitraum (normalerweise ein oder zwei Jahre) gültig, bevor sie ablaufen. Wenn das von einem API-Gateway verwendete TLS-Zertifikat abläuft, werden Aufrufe an eine API, die im API-Gateway bereitgestellt ist, möglicherweise vom API-Client als unsicher markiert (z.B. von einem Browser oder vom curl-Befehlszeilentool) und blockiert. Um blockierte Aufrufe zu vermeiden, müssen Sie TLS-Zertifikate erneuern, bevor sie ablaufen (auch als "Rotieren" von Zertifikaten bezeichnet).

Wenn der API Gateway-Service das ursprüngliche TLS-Zertifikat für Sie abgerufen hat, erneuert der API Gateway-Service das TLS-Zertifikat automatisch bei der von Oracle definierten Certificate Authority, bevor es abläuft. Wenn Sie jedoch selbst ein benutzerdefiniertes TLS-Zertifikat abgerufen haben, sind Sie für die Erneuerung des benutzerdefinierten TLS-Zertifikats bei der ausgewählten Certificate Authority verantwortlich, bevor es abgelaufen ist. Wenn Sie die Erneuerung eines TLS-Zertifikats anfordern, gibt die Certificate Authority ein völlig neues TLS-Zertifikat zurück.

Die Prozedur zur Verlängerung eines benutzerdefinierten TLS-Zertifikats, das von API-Gateways verwendet wird, hängt davon ab, ob Sie API-Gateway-Zertifikatsressourcen oder Certificates-Servicezertifikatsressourcen erstellt haben.

Benutzerdefinierte TLS-Zertifikate für API Gateway-Zertifikatsressourcen erneuern

Wenn Sie eine von einem API-Gateway verwendete API-Gateway-Zertifikatressource erstellt haben, können Sie die vorhandene API-Gateway-Zertifikatressource nicht einfach mit dem neuen TLS-Zertifikat aktualisieren. Stattdessen erstellen Sie eine neue API Gateway-Zertifikatsressource, fügen das neue TLS-Zertifikat der neuen Zertifikatsressource hinzu und aktualisieren dann die API-Gateways, die die vorherige Zertifikatsressource verwendet haben, sodass sie die neue Zertifikatsressource verwenden.

So erneuern Sie das benutzerdefinierte TLS-Zertifikat, das von einem API-Gateway verwendet wird:

  1. Leiten Sie eine Anforderung zur Erneuerung des TLS-Zertifikats an die Certificate Authority weiter, von der Sie das TLS-Zertifikat ursprünglich abgerufen haben. Die genauen Schritte zur Erneuerung eines TLS-Zertifikats hängen von der verwendeten Certificate Authority ab. Weitere Informationen finden Sie in der Dokumentation der jeweiligen Certificate Authority.

    Wenn Sie die Anforderung zur Zertifikatserneuerung erstellen, wird der Anforderung ein Public Key hinzugefügt. Außerdem wird ein entsprechender Private Key generiert und in einer lokalen Datei gespeichert. Sie verwenden diesen Private Key, wenn Sie die neue API Gateway-Zertifikatsressource einrichten. Notieren Sie sich daher den Speicherort.

    Die Certificate Authority gibt eine Datei zurück, die das neue benutzerdefinierte TLS-Zertifikat enthält, und normalerweise mindestens eine Datei mit Zwischenzertifikaten, die eine Zertifikatskette vom TLS-Zertifikat zurück zur Certificate Authority bilden.

  2. Erstellen Sie eine neue API Gateway-Zertifikatsressource, und fügen Sie ihr das neue TLS-Zertifikat, alle intermediären Zertifikate und den neuen Private Key hinzu (siehe Schritt 2: API Gateway-Zertifikatressource erstellen).
  3. Aktualisieren Sie alle vorhandenen API-Gateways, die die ursprüngliche API-Gateway-Zertifikatsressource verwendet haben, um die neue API-Gateway-Zertifikatsressource zu verwenden (siehe API-Gateway aktualisieren).
  4. Wenn keine API-Gateways die ursprüngliche API Gateway-Zertifikatsressource mehr verwenden, löschen Sie die ursprüngliche Zertifikatsressource:
    • Wenn Sie die Konsole verwenden: Wählen Sie auf der Seite Zertifikate neben der ursprünglichen API-Gateway-Zertifikatsressource, die Sie löschen möchten, das Menü Aktionen (drei Punkte) aus, und wählen Sie Löschen aus.
    • Wenn Sie die CLI verwenden: Löschen Sie die ursprüngliche API Gateway-Zertifikatsressource mit dem folgenden Befehl:
      oci api-gateway certificate delete --certificate-id <certificate-ocid>

    Beachten Sie, dass Sie eine API Gateway-Zertifikatsressource nicht löschen können, wenn sie noch von API-Gateways verwendet wird.

Erneuern benutzerdefinierter TLS-Zertifikate für Zertifikatsressourcen des Certificates-Service

Wenn Sie eine Zertifikatsressource des Certificates-Service erstellt haben, die von einem API-Gateway verwendet wird, können Sie das TLS-Zertifikat mit dem Certificates-Service erneuern, indem Sie eine neue Zertifikatsversion erstellen. Die neue Zertifikatsversion hat dieselbe OCID wie das ursprüngliche Zertifikat, sodass Sie keine API-Gateways ändern müssen, um eine neue Zertifikatsressource zu verwenden. Der API Gateway-Service aktualisiert API-Gateways automatisch, um die neue Version zu verwenden. Beachten Sie, dass es einige Einschränkungen für die Zertifikate gibt, die der Certificates-Service erneuern kann. Siehe Zertifikat erneuern.

API verwenden

Informationen zur Verwendung der API und zu Signieranforderungen finden Sie unter REST-API-Dokumentation und Sicherheitszugangsdaten. Informationen zu SDKs finden Sie unter SDKs und die CLI.

Mit dem:

  • CreateCertificate-Vorgang, um eine neue API Gateway-Zertifikatsressource zu erstellen.
  • DeleteCertificate-Vorgang zum Löschen einer vorhandenen API Gateway-Zertifikatsressource.
  • UpdateCertificate-Vorgang können Sie die Details einer vorhandenen API Gateway-Zertifikatsressource ändern.
  • GetCertificate-Vorgang können Sie die Details einer vorhandenen API Gateway-Zertifikatsressource anzeigen.
  • ListCertificates-Vorgang können Sie alle Zertifikate in einem Compartment auflisten.
  • ChangeCertificateCompartment-Vorgang können Sie das Compartment ändern, zu dem eine vorhandene API Gateway-Zertifikatsressource gehört.