Documentation sur Oracle Cloud Infrastructure

Configuration des domaines et des certificats TLS personnalisés

Découvrez comment configurer des certificats TLS et des domaines personnalisés avec le service de passerelle d'API.

Les passerelles d'API que vous créez avec le service Passerelle d'API sont activées pour le protocole TLS. Par conséquent, les certificats TLS (anciennement certificats SSL) émis par une autorité de certification pour les sécuriser. Vous pouvez demander au service de passerelle d'API d'obtenir un certificat TLS par défaut pour vous (si votre location existe dans le domaine OC1) ou vous pouvez obtenir vous-même un certificat TLS personnalisé auprès d'une autorité de certification. Pour spécifier un nom de domaine personnalisé particulier pour une passerelle d'API, vous devez obtenir un certificat TLS personnalisé, plutôt que le service API Gateway n'obtienne le certificat par défaut.

Lorsque vous créez une passerelle d'API, vous spécifiez que celle-ci utilise l'une des options suivantes :

  • Certificat TLS par défaut que le service de passerelle d'API obtient pour vous (domaine OC1 uniquement). Dans ce cas, le service Passerelle d'API demande un certificat TLS à une autorité de certification désignée Oracle.
  • Certificat TLS personnalisé que vous obtenez vous-même auprès de l'autorité de certification choisie. Votre demande à l'autorité de certification inclut le nom de domaine personnalisé. L'autorité de certification retourne un fichier contenant le certificat TLS personnalisé et, généralement, un ou plusieurs fichiers contenant des certificats intermédiaires formant une chaîne de certificats remontant du certificat TLS jusquà l'autorité de certification.

Vous pouvez obtenir un certificat TLS personnalisé de plusieurs façons :

  • Vous pouvez obtenir un certificat TLS personnalisé d'une autorité de certification de tierce partie, puis créer une ressource de certificat du service de passerelle d'API comprenant le certificat TLS personnalisé, tous les certificats intermédiaires et la clé privée utilisée pour générer le certificat TLS. Vous pouvez ensuite sélectionner cette ressource de certificat du service de passerelle d'API lors de la création d'une nouvelle passerelle d'API.
  • Vous pouvez obtenir un certificat TLS personnalisé à l'aide du service de certificats pour créer une ressource de certificat. Le service de certificats peut délivrer un certificat directement ou importer un certificat émis par une autorité de certification tierce dans le service de certificats. Vous pouvez ensuite sélectionner cette ressource de certificat de service de certificats lors de la création d'une passerelle d'API.

La façon dont le certificat TLS est obtenu détermine le degré de contrôle dont vous disposez sur le nom de domaine de la passerelle d'API :

  • Si le service de passerelle d'API obtient un certificat TLS par défaut pour vous (domaine OC1 uniquement), le service de passerelle d'API donne à la passerelle un nom de domaine par défaut généré automatiquement. Le nom de domaine par défaut généré automatiquement est composé d'une chaîne aléatoire de caractères suivie de .apigateway.<region-identifier>.oci.customer-oci.com. Par exemple, laksjd.apigateway.us-phoenix-1.oci.customer-oci.com.
  • Si vous obtenez vous-même un certificat TLS personnalisé, le service Passerelle d'API donne à la passerelle le nom de domaine personnalisé que vous avez spécifié dans votre demande à l'autorité de certification.

La façon dont le certificat TLS est obtenu détermine également la responsabilité de l'enregistrement du mappage du nom de domaine de la passerelle d'API à son adresse IP publique auprès d'un fournisseur de système de noms de domaine (DNS) :

  • Si le service de passerelle d'API obtient un certificat TLS par défaut pour vous (domaine OC1 uniquement), le service de passerelle d'API assume la responsabilité d'enregistrer le mappage du nom de domaine par défaut généré automatiquement par la passerelle d'API à son adresse IP publique auprès du service Oracle Cloud Infrastructure DNS.
  • Si vous obtenez vous-même un certificat TLS personnalisé, vous êtes chargé d'enregistrer le mappage du nom de domaine personnalisé de la passerelle d'API à son adresse IP publique auprès du fournisseur DNS choisi en tant qu'enregistrement A.

De même, le traitement de l'expiration et du renouvellement du certificat TLS est déterminé par la façon dont le certificat TLS est obtenu à l'origine :

  • Si le service de passerelle d'API obtient un certificat TLS par défaut pour vous (domaine OC1 uniquement), le service de passerelle d'API renouvelle automatiquement le certificat TLS auprès de l'autorité de certification désignée Oracle avant son expiration.
  • Si vous obtenez vous-même un certificat TLS personnalisé, vous êtes responsable de son renouvellement auprès de l'autorité de certification choisie avant son expiration. Voir Renouvellement des certificats TLS personnalisés utilisés par les passerelles d'API.

Pour certains clients, l'utilisation de domaines et de certificats TLS personnalisés est obligatoire. Par exemple, si vous utilisez le nuage gouvernemental pour Oracle Cloud Infrastructure , vous devez :

  • Uniquement obtenir un certificat TLS auprès d'une autorité de certification approuvée particulière
  • Uniquement utiliser un fournisseur DNS approuvé particulier

Pour d'autres clients, l'utilisation de domaines personnalisés est susceptible d'être motivée par les exigences commerciales. Par exemple, en général, vous voulez inclure le nom de votre société dans le nom de domaine de la passerelle d'API, au lieu d'utiliser la chaîne aléatoire de caractères suivie de .apigateway.<region-identifier>.oci.customer-oci.com générée automatiquement.

Notez ce qui suit :

  • Vous ne pouvez pas supprimer une ressource de certificat ou une ressource de certificat du service de certificats du service de passerelle d'API qui est actuellement utilisée par une passerelle d'API. Pour supprimer la ressource de certificat, vous devez d'abord la supprimer de toute passerelle d'API qui l'utilise.
  • Vous pouvez spécifier une seule ressource de certificat ou ressource de certificat du service de passerelle d'API.
  • Vous ne pouvez pas mettre à jour une ressource de certificat du service Passerelle d'API après l'avoir créée. Toutefois, vous pouvez mettre à jour une ressource de certificat de service Certificats.
  • Vous pouvez uniquement demander au service de passerelle d'API d'obtenir des certificats TLS par défaut pour vous si votre location existe dans le domaine OC1.
Important

Pour des systèmes publics ou de production, Oracle recommande d'utiliser des certificats TLS personnalisés. Oracle recommande d'utiliser uniquement les certificats TLS par défaut obtenus par le service de passerelle d'API pour des systèmes privés ou hors production (par exemple, pour le développement et le test).

Obtention d'un certificat TLS personnalisé pour configurer un nom de domaine personnalisé pour une passerelle d'API

Vous pouvez configurer un nom de domaine personnalisé et un certificat TLS personnalisé de plusieurs façons :

Utilisation d'une ressource de certificat du service de passerelle d'API pour configurer un nom de domaine personnalisé pour un service de passerelle d'API

Pour utiliser une ressource de certificat du service de passerelle d'API pour configurer un nom de domaine personnalisé pour une passerelle d'API :

Étape 1 : Obtenez un certificat TLS auprès de l'autorité de certification choisie

Les étapes précises pour obtenir un certificat TLS dépendent de l'autorité de certification que vous choisissez d'utiliser. À un niveau élevé, les étapes sont probablement plus ou moins similaires à celles qui suivent, mais consultez toujours la documentation de l'autorité de certification pour obtenir des informations plus détaillés :

  1. Créez une demande de signature de certificat pour l'autorité de certification choisie.

    En général, vous incluez des informations telles que le nom, la localité et le pays de l'organisation dans la demande de signature de certificat.

    Vous incluez également un nom commun dans la demande de signature de certificat en tant que nom de domaine complet du site à sécuriser. Le nom commun relie habituellement le certificat TLS à un domaine particulier. Ce nom de domaine est utilisé comme nom de domaine personnalisé pour les passerelles d'API.

    Lorsque vous créez une demande de signature de certificat, une clé publique est ajoutée à la demande et une clé privée correspondante est également générée et stockée dans un fichier local. Vous utilisez cette clé privée lorsque vous configurez une ressource de certificat du service Passerelle d'API, alors notez son emplacement. La clé privée que vous utilisez pour obtenir un certificat TLS :

    • Doit être une clé RSA.
    • Doit être encodée au format PEM X.509.
    • Doit commencer par -----BEGIN RSA PRIVATE KEY-----.
    • Doit se terminer par -----END RSA PRIVATE KEY-----.
    • Ne doit pas être protégée par une phrase secrète.
    • Doit avoir une longueur minimale de 2 048 octets et ne doit pas dépasser 4 096 octets.

  2. Soumettez la demande de signature de certificat à l'autorité de certification.

    L'autorité de certification retourne :

    • Un fichier contenant le certificat TLS personnalisé pour la passerelle d'API elle-même (appelé 'certificat de feuille' ou 'certificat d'entité finale').
    • En général, un ou plusieurs fichiers contenant des certificats intermédiaires qui forment une chaîne de certificats remontant du certificat de feuille jusqu'à l'autorité de certification.

Vous pouvez maintenant utiliser ces fichiers de certificat pour créer une ressource de certificat du service Passerelle d'API.

Étape 2 : Créer une ressource de certificat du service de passerelle d'API

Une ressource de certificat du service Passerelle d'API est une définition nommée d'un certificat TLS que vous pouvez utiliser lors de la création ou de la mise à jour d'une passerelle d'API à l'aide du service Passerelle d'API.

Une ressource de certificat du service Passerelle d'API comprend :

  • Un nom de votre choix pour la ressource de certificat elle-même
  • Le certificat TLS personnalisé pour la passerelle d'API (certificat de feuille ou certificat d'entité finale) retourné par l'autorité de certification
  • Tout certificat intermédiaire formant une chaîne de certificats remontant du certificat de feuille jusqu'à l'autorité de certification
  • La clé privée associée à la clé publique incluse dans la demande de signature de certificat initiale

Notez que vous ne pouvez pas mettre à jour une ressource de certificat du service Passerelle d'API après l'avoir créée.

Vous pouvez créer une ressource de certificat du service Passerelle d'API à l'aide de la console ou de l'interface de ligne de commande.

Utilisation de la console

Pour créer une ressource de certificat du service Passerelle d'API à l'aide de la console :

  1. Dans la page de liste Certificats, sélectionnez Créer un certificat. Si vous avez besoin d'aide pour trouver la page de liste, voir Liste des ressources de certificat du service de passerelle d'API.

  2. Spécifiez les valeurs suivantes pour la ressource de certificat du service de passerelle d'API :

    • Nom : Nom de la nouvelle ressource de certificat du service Passerelle d'API. Évitez d'entrer des informations confidentielles.
    • Certificat : Certificat TLS personnalisé retourné par l'autorité de certification (certificat de feuille ou certificat d'entité finale). Effectuez un glisser-déposer, sélectionnez ou collez un certificat TLS valide. Notez que le certificat TLS que vous spécifiez :
      • Doit être encodée au format PEM X.509.
      • Doit commencer par -----BEGIN CERTIFICATE-----.
      • Doit se terminer par -----END CERTIFICATE-----.
      • Ne doit pas dépasser 4 096 octets de longueur.

    • Certificats intermédiaires : (Facultatif) S'il existe un ou plusieurs certificats intermédiaires formant une chaîne de certificats remontant du certificat TLS jusqu'à l'autorité de certification, incluez le contenu des fichiers de certificats intermédiaires dans l'ordre correct. L'ordre correct commence par le certificat signé directement par l'autorité de certification racine de confiance en bas, avec tout certificat supplémentaire directement au-dessus de l'autorité de certification qui l'a signé. Par exemple :

      -----BEGIN CERTIFICATE-----
<PEM_encoded_certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<PEM_encoded_certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<PEM_encoded_certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<PEM_encoded_certificate>
-----END CERTIFICATE-----

      Si vous avez concaténé le contenu des fichiers de certificat intermédiaires dans un seul fichier de chaîne de certificats dans l'ordre correct, faites glisser ce fichier et déposez-le, ou sélectionnez le fichier et collez son contenu.

      Si vous n'avez pas de fichier de chaîne de certificats concaténé, collez le contenu des fichiers de certificats individuels dans l'ordre correct.

      La longueur combinée des certificats intermédiaires que vous spécifiez ne doit pas excéder 10 240 octets.

    • Clé privée : Clé privée utilisée pour obtenir le certificat TLS auprès de l'autorité de certification. Effectuez un glisser-déposer, sélectionnez ou collez une clé privée valide dans ce champ. Notez que la clé que vous spécifiez :
      • Doit être une clé RSA.
      • Doit être encodée au format PEM X.509.
      • Doit commencer par -----BEGIN RSA PRIVATE KEY-----.
      • Doit se terminer par -----END RSA PRIVATE KEY-----.
      • Ne doit pas être protégée par une phrase secrète.
      • Doit avoir une longueur minimale de 2 048 octets et ne doit pas dépasser 4 096 octets.
  3. Sélectionnez Créer pour créer la ressource de certificat du service de passerelle d'API.

Utilisation de l'interface de ligne de commande

Pour créer une ressource de certificat du service Passerelle d'API à l'aide de l'interface de ligne de commande :

  1. Configurez l'environnement client pour utiliser l'interface de ligne de commande (Configuration de l'environnement client afin d'utiliser l'interface de ligne de commande pour le développement de passerelles d'API).

  2. Ouvrez une invite de commande et exécutez oci api-gateway certificate create pour créer la ressource de certificat du service Passerelle d'API :

    oci api-gateway certificate create --display-name "<certificate-name>" --compartment-id <compartment-ocid> --certificate-file <certificate-file-path> --intermediate-certificates-file <intermediate-certificates-file-path> --private-key-file <private-key-file-path>

    où :

    • <certificate-name> est le nom de la nouvelle ressource de certificat du service Passerelle d'API. Évitez d'entrer des informations confidentielles.
    • <compartment-ocid> est l'OCID du compartiment contenant la nouvelle ressource de certificat du service Passerelle d'API.

    • <certificate-file-path> est le chemin et le nom du fichier contenant le certificat de feuille retourné par l'autorité de certification. Par exemple, ~/.certs/cert.pem. Notez que le certificat de feuille dans le fichier que vous spécifiez :

      • Doit être encodée au format PEM X.509.
      • Doit commencer par -----BEGIN CERTIFICATE-----.
      • Doit se terminer par -----END CERTIFICATE-----.
      • Ne doit pas dépasser 4 096 octets de longueur.

    • <intermediate-certificates-file-path> est le chemin et le nom facultatifs d'un fichier contenant un ou plusieurs certificats intermédiaires formant une chaîne de certificats remontant du certificat de feuille jusqu'à l'autorité de certification. Par exemple, ~/.certs/int_cert.pem. Si le fichier contient plusieurs certificats intermédiaires, les certificats intermédiaires doivent être dans l'ordre correct. L'ordre correct se termine par le certificat signé directement par l'autorité de certification racine de confiance, avec tout certificat supplémentaire précédant directement l'autorité de certification qui l'a signé. Par exemple : 

      -----BEGIN CERTIFICATE-----<PEM_encoded_certificate>-----END CERTIFICATE----------BEGIN CERTIFICATE-----<PEM_encoded_certificate>-----END CERTIFICATE----------BEGIN CERTIFICATE-----<PEM_encoded_certificate>-----END CERTIFICATE----------BEGIN CERTIFICATE-----<PEM_encoded_certificate>-----END CERTIFICATE-----

      La longueur combinée des certificats intermédiaires que vous spécifiez ne doit pas excéder 10 240 octets.

    • <private-key-file-path> est le chemin et le nom du fichier contenant la clé privée utilisée pour obtenir le certificat TLS auprès de l'autorité de certification. Par exemple, ~/.certs/key.pem. Notez que la clé privée dans le fichier que vous spécifiez :

      • Doit être une clé RSA.
      • Doit être encodée au format PEM X.509.
      • Doit commencer par -----BEGIN RSA PRIVATE KEY-----.
      • Doit se terminer par -----END RSA PRIVATE KEY-----.
      • Ne doit pas être protégée par une phrase secrète.
      • Doit avoir une longueur minimale de 2 048 octets et ne doit pas dépasser 4 096 octets.

    Par exemple :

    oci api-gateway certificate create --display-name "Acme gateway certificate" --compartment-id ocid1.compartment.oc1..aaaaaaaa7______ysq --certificate-file ~/.certs/cert.pem --private-key-file ~/.certs/key.pem

    La réponse à la commande comprend les données suivantes :

    • L'OCID de la nouvelle ressource de certificat du service Passerelle d'API.
    • L'état du cycle de vie (par exemple, ACTIVE, FAILED).
    • L'ID demande de travail permettant de créer la ressource de certificat du service Passerelle d'API (les détails des demandes de travail sont disponibles pendant sept jours après l'achèvement, l'annulation ou l'échec).

    Si vous souhaitez que la commande attende que la ressource de certificat du Passerelle d'API soit active avant de retourner un contrôle (ou si la demande a échoué), incluez l'un des paramètres suivants ou les deux :

    • --wait-for-state ACTIVE
    • --wait-for-state FAILED

    Par exemple :

    oci api-gateway certificate create --display-name "Acme gateway certificate" --compartment-id ocid1.compartment.oc1..aaaaaaaa7______ysq --certificate-file ~/.certs/cert.pem --private-key-file ~/.certs/key.pem --wait-for-state ACTIVE

Pour plus d'informations sur l'utilisation de l'interface de ligne de commande, voir Interface de ligne de commande. Pour la liste complète des indicateurs et des options disponibles pour les commandes d'interface de ligne de commande, voir Aide sur l'interface de ligne de commande.

Étape 3: Spécifier la ressource de certificat du service de passerelle d'API lors de la création d'une passerelle d'API

Pour spécifier la ressource de certificat du service Passerelle d'API lors de la création d'une passerelle d'API :

  1. Cliquez sur Création d'une passerelle d'API pour créer une passerelle d'API à l'aide de la console ou de l'interface de ligne de commande.

  2. Spécifiez la ressource de certificat du service Passerelle d'API comme décrit dans les instructions :

    • Si vous utilisez la console : Utilisez le champ Certificat.
    • Si vous utilisez l'interface de ligne de commande : Définissez la propriété --certificate-id <certificate-ocid>.

    Le service API Gateway crée la nouvelle passerelle d'API et installe le certificat TLS personnalisé et la clé privée.

  3. Obtenez l'adresse IP publique de la passerelle d'API.
Étape 4 : Enregistrez le mappage du nom de domaine personnalisé de la passerelle d'API à l'adresse IP publique auprès du fournisseur DNS choisi

Les étapes précises pour enregistrer le mappage du nom de domaine personnalisé d'une passerelle d'API à son adresse IP publique dépendent du fournisseur DNS que vous choisissez d'utiliser. En général, vous créez un enregistrement (en particulier un nouvel enregistrement A) dans la configuration du fournisseur DNS. L'enregistrement associe le nom de domaine que vous avez configuré lors de la demande de certificat TLS à de l'autorité de certification choisie à l'adresse IP publique que le service Passerelle d'API attribue à la nouvelle passerelle d'API. Consultez la documentation du fournisseur DNS choisi pour obtenir des informations plus détaillées.

Utilisation d'une ressource de certificat de service de certificats pour configurer un nom de domaine personnalisé pour une passerelle d'API

Pour utiliser une ressource de certificat de service de certificats afin de configurer un nom de domaine personnalisé pour une passerelle d'API :

Étape 1 : Créer une ressource de certificat du service de certificats

Vous pouvez utiliser le service de certificats de plusieurs façons pour créer une ressource de certificat lors de la configuration d'un nom de domaine personnalisé pour une passerelle d'API :

  • Vous pouvez utiliser le service de certificats pour émettre un certificat TLS que vous prévoyez de gérer en interne avec le service de certificats. Pour plus d'informations sur la création d'une ressource de certificat du service de certificats de cette façon, voir Création d'un certificat.
  • Vous pouvez utiliser le service de certificats pour importer un certificat TLS émis par une autorité de certification de tierce partie que vous prévoyez de gérer en interne avec le service de certificats. Pour plus d'informations sur la création d'une ressource de certificat du service de certificats de cette façon, voir Importation d'un certificat.

Notez que, même si vous pouvez utiliser le service de certificats pour émettre un certificat TLS que vous prévoyez de gérer à l'externe avec une autorité de certification de tierce partie, vous ne pouvez pas utiliser un tel certificat TLS géré à l'externe lors de la configuration d'un nom de domaine personnalisé pour une passerelle d'API.

Tenez également compte des points suivants :

  • Le certificat TLS :
    • Doit être encodée au format PEM X.509.
    • Doit commencer par -----BEGIN CERTIFICATE-----.
    • Doit se terminer par -----END CERTIFICATE-----.
    • Ne doit pas dépasser 4 096 octets de longueur.
  • Le certificat TLS doit avoir été créé à l'aide d'un des types de profil de certificat pris en charge, comme suit :
    • Types de profil de certificat pris en charge : Serveur TLS ou client; Serveur TLS.
    • Types de profil de certificat non pris en charge : Client TLS; Signe de code TLS.
  • La clé privée utilisée pour obtenir le certificat TLS :
    • Doit être une clé RSA.
    • Doit être encodée au format PEM X.509.
    • Doit commencer par -----BEGIN RSA PRIVATE KEY-----.
    • Doit se terminer par -----END RSA PRIVATE KEY-----.
    • Ne doit pas être protégée par une phrase secrète.
    • Doit avoir une longueur minimale de 2 048 octets et ne doit pas dépasser 4 096 octets.
Étape 2 : Spécifier la ressource de certificat du service de certificats lors de la création d'une passerelle d'API

Pour spécifier la ressource de certificat du service de certificats lors de la création d'une passerelle d'API :

  1. Cliquez sur Création d'une passerelle d'API pour créer une passerelle d'API à l'aide de la console ou de l'interface de ligne de commande.

  2. Spécifiez la ressource de certificat du service Certificats comme décrit dans les instructions :

    • Si vous utilisez la console : Utilisez le champ Certificat.
    • Si vous utilisez l'interface de ligne de commande : Définissez la propriété --certificate-id <certificate-ocid>.

    Le service API Gateway crée la nouvelle passerelle d'API et installe le certificat TLS personnalisé et la clé privée.

  3. Obtenez l'adresse IP publique de la passerelle d'API.
Étape 3: Enregistrer le mappage du nom de domaine personnalisé de la passerelle d'API à l'adresse IP publique auprès du fournisseur DNS choisi

Les étapes précises pour enregistrer le mappage du nom de domaine personnalisé d'une passerelle d'API à son adresse IP publique dépendent du fournisseur DNS que vous choisissez d'utiliser. En général, vous créez un enregistrement (en particulier un nouvel enregistrement A) dans la configuration du fournisseur DNS. L'enregistrement associe le nom de domaine que vous avez configuré lors de la demande de certificat TLS à de l'autorité de certification choisie à l'adresse IP publique que le service Passerelle d'API attribue à la nouvelle passerelle d'API. Consultez la documentation du fournisseur DNS choisi pour obtenir des informations plus détaillées.

Renouvellement des certificats TLS personnalisés utilisés par les passerelles d'API

Les certificats TLS sont valables pour une période limitée (généralement un ou deux ans) avant leur expiration. Si le certificat TLS utilisé par une passerelle d'API expire, les appels vers une API déployée sur la passerelle d'API peuvent être marqués comme non sécurisés par le client d'API (par exemple, par un navigateur ou par l'outil de ligne de commande curl) et bloqués. Pour éviter les appels bloqués, vous devez renouveler les certificats TLS avant leur expiration (parfois appelé 'rotation' des certificats).

Si le service Passerelle d'API a obtenu le certificat TLS initial pour vous, le service Passerelle d'API renouvelle automatiquement le certificat TLS auprès de l'autorité de certification désignée Oracle avant son expiration. Toutefois, si vous obtenez vous-même un certificat TLS personnalisé, vous êtes responsable de son renouvellement auprès de l'autorité de certification choisie avant son expiration. Lorsque vous demandez le renouvellement d'un certificat TLS, l'autorité de certification retourne un tout nouveau certificat TLS.

La procédure de renouvellement d'un certificat TLS personnalisé utilisé par les passerelles d'API varie selon que vous avez créé des ressources de certificat de passerelle d'API ou des ressources de certificat de service de certificats.

Renouvellement des certificats TLS personnalisés pour les ressources de certificat du service de passerelle d'API

Lorsque vous avez créé une ressource de certificat du service de passerelle d'API utilisée par une passerelle d'API, vous ne pouvez pas simplement mettre à jour la ressource de certificat du service de passerelle d'API existante avec le nouveau certificat TLS. Vous créez plutôt une nouvelle ressource de certificat du service Passerelle d'API, ajoutez le nouveau certificat TLS à la nouvelle ressource de certificat, puis mettez à jour toutes les passerelles d'API qui ont utilisé la ressource de certificat précédente pour qu'elles utilisent la nouvelle ressource de certificat.

Pour renouveler le certificat TLS personnalisé utilisé par une passerelle d'API :

  1. Soumettez une demande de renouvellement de certificat TLS à l'autorité de certification dont vous avez initialement obtenu le certificat TLS. Les étapes exactes pour renouveler un certificat TLS dépendent de l'autorité de certification que vous utilisez, consultez donc toujours la documentation de l'autorité de certification pour obtenir des informations plus détaillées.

    Lorsque vous créez la demande de renouvellement de certificat, une clé publique est ajoutée à la demande et une clé privée correspondante est également générée et stockée dans un fichier local. Vous utilisez cette clé privée lorsque vous configurez la nouvelle ressource de certificat du service Passerelle d'API, alors notez son emplacement.

    L'autorité de certification retourne un fichier contenant le nouveau certificat TLS personnalisé et, généralement, un ou plusieurs fichiers contenant des certificats intermédiaires formant une chaîne de certificats remontant du certificat TLS jusqu'à l'autorité de certification.

  2. Créez une nouvelle ressource de certificat du service Passerelle d'API et ajoutez-lui le nouveau certificat TLS, tout certificat intermédiaire et la nouvelle clé privée (voir Étape 2 : Créer une ressource de certificat du service API Gateway).
  3. Mettez à jour toutes les passerelles d'API existantes qui ont utilisé la ressource de certificat du service de passerelle d'API initiale pour utiliser la nouvelle ressource de certificat du service de passerelle d'API (voir Mise à jour d'une passerelle d'API).
  4. Lorsqu'aucune passerelle d'API n'utilise plus la ressource de certificat du service Passerelle d'API initiale, supprimez la ressource de certificat initiale :
    • Si vous utilisez la console : Dans la page Certificats, sélectionnez le menu Actions (trois points) à côté de la ressource de certificat initiale du service de passerelle d'API à supprimer, puis sélectionnez Supprimer.
    • Si vous utilisez l'interface de ligne de commande : Utilisez la commande suivante pour supprimer la ressource de certificat du service Passerelle d'API initiale :
      oci api-gateway certificate delete --certificate-id <certificate-ocid>

    Notez que vous ne pouvez pas supprimer une ressource de certificat du service Passerelle d'API si des passerelles d'API l'utilisent encore.

Renouvellement des certificats TLS personnalisés pour les ressources de certificat du service de certificats

Lorsque vous avez créé une ressource de certificat de service de certificats utilisée par une passerelle d'API, vous pouvez utiliser le service de certificats pour renouveler le certificat TLS en créant une nouvelle version de certificat. La nouvelle version de certificat a le même OCID que le certificat initial. Vous n'avez donc pas besoin de modifier les passerelles d'API pour utiliser une nouvelle ressource de certificat. Le service de passerelle d'API met automatiquement à jour les passerelles d'API pour utiliser la nouvelle version. Notez qu'il existe des restrictions sur les certificats que le service Certificats peut renouveler. Voir Réservation d'un certificat.

Utilisation de l'API

Pour plus d'informations sur l'utilisation de l'API et sur les demandes de signature, voir la documentation de l'API REST et Données d'identification de sécurité. Pour plus d'informations sur les trousses SDK, voir Trousses SDK et interface de ligne de commande.

Utilisez les opérations suivantes :

  • Opération CreateCertificate pour créer une ressource de certificat du service Passerelle d'API.
  • Opération DeleteCertificate pour supprimer une ressource de certificat du service Passerelle d'API existante.
  • Opération UpdateCertificate pour modifier les détails d'une ressource de certificat du service Passerelle d'API existante.
  • Opération GetCertificate pour voir les détails d'une ressource de certificat du service Passerelle d'API existante.
  • Opération ListCertificates pour lister tous les certificats d'un compartiment.
  • Opération ChangeCertificateCompartment pour modifier le compartiment contenant une ressource de certificat du service Passerelle d'API existante.