Documentation Oracle Cloud Infrastructure

Configuration de certificats TLS et de domaines personnalisés

Découvrez comment configurer des certificats TLS et des domaines personnalisés avec API Gateway.

Les passerelles d'API créées avec le service API Gateway sont compatibles TLS et nécessitent donc des certificats TLS (anciennement certificats SSL) émis par une autorité de certification pour être sécurisées. Vous pouvez demander au service API Gateway d'obtenir un certificat TLS par défaut pour vous (si votre location existe dans le domaine OC1) ou vous pouvez obtenir vous-même un certificat TLS personnalisé auprès d'une autorité de certification. Afin d'indiquer un nom de domaine personnalisé particulier pour une passerelle d'API, vous devez obtenir un certificat TLS personnalisé, plutôt que de laisser le service API Gateway obtenir un certificat TLS par défaut.

Lorsque vous créez une passerelle d'API, vous indiquez que celle-ci utilise l'un des éléments suivants :

  • Un certificat TLS par défaut obtenu par le service API Gateway (domaine OC1 uniquement). Dans ce cas, le service API Gateway demande un certificat TLS à une autorité de certification désignée par Oracle.
  • Un certificat TLS personnalisé que vous obtenez par vous-même auprès de l'autorité de certification de votre choix. Votre demande à l'autorité de certification inclut le nom de domaine personnalisé. L'autorité de certification renvoie un fichier contenant le certificat TLS personnalisé et généralement des fichiers contenant des certificats intermédiaires qui forment une chaîne de certificat partant du certificat TLS jusqu'à l'autorité de certification.

Vous pouvez obtenir un certificat TLS personnalisé de plusieurs manières :

  • Vous pouvez obtenir un certificat TLS personnalisé auprès d'une autorité de certification tierce, puis créer une ressource de certificat API Gateway comprenant le certificat TLS personnalisé, les certificats intermédiaires et la clé privée utilisée pour générer le certificat TLS. Vous pouvez ensuite sélectionner cette ressource de certificat API Gateway lors de la création d'une passerelle d'API.
  • Vous pouvez obtenir un certificat TLS personnalisé à l'aide du service Certificates pour créer une ressource de certificat. Le service Certificates peut émettre un certificat directement ou vous pouvez importer dans le service Certificates un certificat émis par une autorité de certification tierce. Vous pouvez ensuite sélectionner cette ressource de certificat de service Certificates lors de la création d'une passerelle d'API.

La façon dont le certificat TLS est obtenu détermine votre degré de contrôle sur le nom de domaine de la passerelle d'API :

  • Si le service de passerelle d'API obtient un certificat TLS par défaut pour vous (domaine OC1 uniquement), il fournit à la passerelle d'API un nom de domaine par défaut généré automatiquement. Le nom de domaine par défaut généré automatiquement comprend une chaîne aléatoire de caractères suivie de .apigateway.<region-identifier>.oci.customer-oci.com. Par exemple, laksjd.apigateway.us-phoenix-1.oci.customer-oci.com.
  • Si vous obtenez par vous-même un certificat TLS personnalisé, le service API Gateway donne à la passerelle d'API le nom de domaine personnalisé indiqué dans la demande envoyée à l'autorité de certification.

La façon dont le certificat TLS est obtenu détermine également la responsabilité concernant l'enregistrement de la correspondance entre le nom de domaine de la passerelle d'API et son adresse IP publique auprès d'un fournisseur DNS :

  • Si le service API Gateway obtient un certificat TLS par défaut pour vous (domaine OC1 uniquement), il est responsable de l'enregistrement de la correspondance entre le nom de domaine par défaut généré automatiquement de la passerelle d'API et son adresse IP publique auprès du service Oracle Cloud Infrastructure DNS.
  • Si vous obtenez par vous-même un certificat TLS personnalisé, vous êtes responsable de l'enregistrement de la correspondance entre le nom de domaine personnalisé de la passerelle d'API et son adresse IP publique auprès du fournisseur DNS choisi en tant qu'enregistrement de type A.

De même, la gestion de l'expiration et du renouvellement du certificat TLS est déterminé par la façon dont le certificat TLS est obtenu à l'origine :

  • Si le service API Gateway obtient un certificat TLS par défaut pour vous (domaine OC1 uniquement), il le renouvelle automatiquement auprès de l'autorité de certification désignée par Oracle avant son expiration.
  • Si vous obtenez vous-même un certificat TLS personnalisé, vous êtes responsable de son renouvellement auprès de l'autorité de certification choisie avant son expiration. Reportez-vous à Renouvellement des certificats TLS personnalisés utilisés par les passerelles d'API.

Pour certains clients, l'utilisation de domaines personnalisés et de certificats TLS personnalisés est obligatoire. Par exemple, si vous utilisez Oracle Cloud Infrastructure Government Cloud, vous devez :

  • seulement obtenir un certificat TLS auprès d'une autorité de certification approuvée particulière,
  • seulement utiliser un fournisseur DNS approuvé particulier.

Pour d'autres clients, l'utilisation de domaines personnalisés est susceptible d'être motivée par des exigences commerciales. Par exemple, vous voulez généralement inclure le nom de votre société dans le nom de domaine de la passerelle d'API, plutôt que d'utiliser la chaîne aléatoire de caractères générée automatiquement, suivie de .apigateway.<region-identifier>.oci.customer-oci.com.

Tenez compte des points suivants :

  • Vous ne pouvez pas supprimer une ressource de certificat API Gateway ou une ressource de certificat de service Certificates qui est utilisée par une passerelle d'API. Pour supprimer la ressource de certificat, vous devez d'abord l'enlever de toute passerelle d'API qui l'utilise.
  • Vous ne pouvez indiquer qu'une seule ressource de certificat API Gateway ou une seule ressource de certificat de service Certificates pour une passerelle d'API.
  • Vous ne pouvez pas mettre à jour une ressource de certificat API Gateway après sa création. Toutefois, vous pouvez mettre à jour une ressource de certificat de service Certificates.
  • Vous pouvez uniquement demander au service API Gateway d'obtenir des certificats TLS par défaut pour vous si votre location existe dans le domaine OC1.
Important

Pour les systèmes publics ou de production, Oracle recommande d'utiliser des certificats TLS personnalisés. Oracle recommande d'utiliser uniquement les certificats TLS par défaut obtenus par le service API Gateway pour les systèmes privés ou hors production (par exemple, pour le développement et le test).

Obtention d'un certificat TLS personnalisé pour configurer un nom de domaine personnalisé pour une passerelle d'API

Vous pouvez configurer un nom de domaine personnalisé et un certificat TLS personnalisé de plusieurs manières :

Utilisation d'une ressource de certificat de passerelle d'API pour configurer un nom de domaine personnalisé pour une passerelle d'API

Pour utiliser une ressource de certificat API Gateway afin de configurer un nom de domaine personnalisé pour une passerelle d'API, procédez comme suit :

Etape 1 : obtention d'un certificat TLS auprès de l'autorité de certification de votre choix

Les étapes précises pour obtenir un certificat TLS seront différentes en fonction de l'autorité de certification que vous choisissez d'utiliser. Globalement, les étapes seront probablement semblables aux suivantes, mais reportez-vous toujours à la documentation de l'autorité de certification pour obtenir des informations plus détaillées :

  1. Créez une demande de signature de certificat pour l'autorité de certification choisie.

    En général, vous inclurez des informations telles que le nom de l'organisation, la localité et le pays dans la demande de signature de certificat.

    Vous y inclurez également un nom commun en tant que nom de domaine qualifié complet du site que vous souhaitez sécuriser. Le nom commun relie généralement le certificat TLS à un domaine particulier. Ce nom de domaine est utilisé comme nom de domaine personnalisé pour les passerelles d'API.

    Lorsque vous créez une demande de signature de certificat, une clé publique est ajoutée à la demande et une clé privée correspondante est également générée et stockée dans un fichier local. Notez l'emplacement de cette clé privée car vous l'utiliserez pour configurer une ressource de certificat API Gateway. La clé privée utilisée pour obtenir un certificat TLS :

    • doit être une clé RSA,
    • doit être au format X.509 encodé PEM,
    • doit commencer par -----BEGIN RSA PRIVATE KEY-----,
    • doit se terminer par -----END RSA PRIVATE KEY-----,
    • ne doit pas être protégée par une phrase de passe,
    • doit être comprise entre 2 048 et 4 096 bits.

  2. Soumettez la demande de signature de certificat à l'autorité de certification.

    L'autorité de certification renvoie :

    • un fichier contenant le certificat TLS personnalisé pour la passerelle d'API elle-même (connu sous le nom de "certificat feuille" ou "certificat d'entité finale"),
    • généralement des fichiers contenant des certificats intermédiaires qui forment une chaîne de certificat partant du certificat feuille jusqu'à l'autorité de certification.

Vous pouvez maintenant utiliser ces fichiers de certificat pour créer une ressource de certificat API Gateway.

Etape 2 : création d'une ressource de certificat API Gateway

Une ressource de certificat API Gateway est une définition nommée d'un certificat TLS que vous pouvez utiliser lors de la création ou de la mise à jour d'une passerelle d'API à l'aide du service API Gateway.

Une ressource de certificat API Gateway comprend :

  • un nom de votre choix pour la ressource de certificat,
  • le certificat TLS personnalisé pour la passerelle d'API (le "certificat feuille" ou le "certificat d'entité finale") renvoyé par l'autorité de certification,
  • tous les certificats intermédiaires qui forment une chaîne de certificat partant du certificat feuille jusqu'à l'autorité de certification,
  • la clé privée couplée à la clé publique incluse dans la demande de signature de certificat d'origine.

Vous ne pouvez pas mettre à jour une ressource de certificat API Gateway après sa création.

Vous pouvez créer une ressource de certificat API Gateway à l'aide de la console ou de l'interface de ligne de commande.

Utilisation de la console

Pour créer une ressource de certificat API Gateway à l'aide de la console, procédez comme suit :

  1. Sur la page de liste Certificats, sélectionnez Créer un certificat. Si vous avez besoin d'aide pour trouver la page de liste, reportez-vous à Liste des ressources de certificat API Gateway.

  2. Indiquez les valeurs suivantes pour la ressource de certificat API Gateway :

    • Nom : nom de la nouvelle ressource de certificat API Gateway. Evitez de saisir des informations confidentielles.
    • Certificat : certificat TLS personnalisé renvoyé par l'autorité de certification (le "certificat feuille" ou le "certificat d'entité finale"). Glissez-déplacez, sélectionnez ou collez un certificat TLS valide. Le certificat TLS indiqué :
      • doit être au format X.509 encodé PEM,
      • doit commencer par -----BEGIN CERTIFICATE-----,
      • doit se terminer par -----END CERTIFICATE-----,
      • ne doit pas dépasser 4 096 bits.

    • Certificats intermédiaires : (facultatif) si des certificats intermédiaires forment une chaîne de certificat partant du certificat TLS jusqu'à l'autorité de certification, incluez le contenu des fichiers de certificat intermédiaire dans l'ordre approprié. L'ordre correct commence en bas par le certificat signé directement par l'autorité de certification racine sécurisée, avec tout certificat supplémentaire directement au-dessus de l'autorité de certification qui l'a signé. Par exemple :

      -----BEGIN CERTIFICATE-----
<PEM_encoded_certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<PEM_encoded_certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<PEM_encoded_certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<PEM_encoded_certificate>
-----END CERTIFICATE-----

      Si vous avez concaténé le contenu des fichiers de certificat intermédiaire dans un seul fichier de chaîne de certificat dans l'ordre correct, glissez-déposez ou sélectionnez ce fichier, ou collez son contenu.

      Si vous ne disposez pas de fichier de chaîne de certificat concaténé, collez le contenu de chaque fichier de certificat dans l'ordre correct.

      La longueur combinée des certificats intermédiaires que vous indiquez ne doit pas dépasser 10 240 bits.

    • Clé privée : clé privée utilisée pour obtenir le certificat TLS auprès de l'autorité de certification. Glissez-déposez, sélectionnez ou collez une clé privée valide dans ce champ. La clé indiquée :
      • doit être une clé RSA,
      • doit être au format X.509 encodé PEM,
      • doit commencer par -----BEGIN RSA PRIVATE KEY-----,
      • doit se terminer par -----END RSA PRIVATE KEY-----,
      • ne doit pas être protégée par une phrase de passe,
      • doit être comprise entre 2 048 et 4 096 bits.
  3. Sélectionnez Créer pour créer la ressource de certificat API Gateway.

Utilisation de l'interface de ligne de commande

Pour créer une ressource de certificat API Gateway à l'aide de l'interface de ligne de commande, procédez comme suit :

  1. Configurez votre environnement client de façon à pouvoir utiliser l'interface de ligne de commande (Configuration de l'environnement client pour utiliser l'interface de ligne de commande pour le développement de passerelle d'API).

  2. Ouvrez une invite de commande et exécutez oci api-gateway certificate create pour créer la ressource de certificat API Gateway :

    oci api-gateway certificate create --display-name "<certificate-name>" --compartment-id <compartment-ocid> --certificate-file <certificate-file-path> --intermediate-certificates-file <intermediate-certificates-file-path> --private-key-file <private-key-file-path>

    où :

    • <certificate-name> est le nom de la nouvelle ressource de certificat API Gateway. Evitez de saisir des informations confidentielles.
    • <compartment-ocid> est l'OCID du compartiment auquel appartient la nouvelle ressource de certificat API Gateway.

    • <certificate-file-path> est le chemin et le nom du fichier contenant le certificat feuille renvoyé par l'autorité de certification. Par exemple : ~/.certs/cert.pem. Le certificat feuille dans le fichier que vous indiquez :

      • doit être au format X.509 encodé PEM,
      • doit commencer par -----BEGIN CERTIFICATE-----,
      • doit se terminer par -----END CERTIFICATE-----,
      • ne doit pas dépasser 4 096 bits.

    • <intermediate-certificates-file-path> représente éventuellement le chemin et le nom d'un fichier contenant des certificats intermédiaires qui forment une chaîne de certificat partant du certificat feuille jusqu'à l'autorité de certification. Par exemple : ~/.certs/int_cert.pem. Si le fichier contient plusieurs certificats intermédiaires, ces derniers doivent être dans l'ordre correct. L'ordre correct se termine par le certificat signé directement par l'autorité de certification racine sécurisée, avec tout certificat supplémentaire précédant directement l'autorité de certification qui l'a signé. Par exemple : 

      -----BEGIN CERTIFICATE-----<PEM_encoded_certificate>-----END CERTIFICATE----------BEGIN CERTIFICATE-----<PEM_encoded_certificate>-----END CERTIFICATE----------BEGIN CERTIFICATE-----<PEM_encoded_certificate>-----END CERTIFICATE----------BEGIN CERTIFICATE-----<PEM_encoded_certificate>-----END CERTIFICATE-----

      La longueur combinée des certificats intermédiaires que vous indiquez ne doit pas dépasser 10 240 bits.

    • <private-key-file-path> est le chemin et le nom du fichier contenant la clé privée utilisée pour obtenir le certificat TLS auprès de l'autorité de certification. Par exemple : ~/.certs/key.pem. La clé privée dans le fichier que vous indiquez :

      • doit être une clé RSA,
      • doit être au format X.509 encodé PEM,
      • doit commencer par -----BEGIN RSA PRIVATE KEY-----,
      • doit se terminer par -----END RSA PRIVATE KEY-----,
      • ne doit pas être protégée par une phrase de passe,
      • doit être comprise entre 2 048 et 4 096 bits.

    Par exemple :

    oci api-gateway certificate create --display-name "Acme gateway certificate" --compartment-id ocid1.compartment.oc1..aaaaaaaa7______ysq --certificate-file ~/.certs/cert.pem --private-key-file ~/.certs/key.pem

    La réponse à la commande inclut les éléments suivants :

    • OCID de la nouvelle ressource de certificat API Gateway.
    • Etat de cycle de vie (par exemple, ACTIVE, FAILED).
    • ID de la demande de travail utilisée pour créer la ressource de certificat API Gateway (les détails des demandes de travail sont disponibles pendant sept jours après leur fin, leur annulation ou leur échec).

    Pour que la commande attende que la ressource de certificat API Gateway soit active (ou que la demande ait échoué) avant de renvoyer le contrôle, incluez l'un des paramètres suivants ou les deux :

    • --wait-for-state ACTIVE
    • --wait-for-state FAILED

    Par exemple :

    oci api-gateway certificate create --display-name "Acme gateway certificate" --compartment-id ocid1.compartment.oc1..aaaaaaaa7______ysq --certificate-file ~/.certs/cert.pem --private-key-file ~/.certs/key.pem --wait-for-state ACTIVE

Pour plus d'informations sur l'utilisation de l'interface de ligne de commande, reportez-vous à Interface de ligne de commande (CLI). Afin d'obtenir la liste complète des indicateurs et des options disponibles pour les commandes de l'interface de ligne de commande, reportez-vous à Aide relative à l'interface de ligne de commande.

Etape 3 : spécification de la ressource de certificat API Gateway lors de la création d'une passerelle d'API

Pour indiquer la ressource de certificat API Gateway lors de la création d'une passerelle d'API, procédez comme suit :

  1. Suivez les instructions dans Création d'une passerelle d'API pour créer une passerelle d'API à l'aide de la console ou de l'interface de ligne de commande.

  2. Indiquez la ressource de certificat API Gateway comme décrit dans les instructions :

    • Si vous utilisez la console : utilisez le champ Certificat.
    • Si vous utilisez l'interface de ligne de commande : définissez la propriété --certificate-id <certificate-ocid>.

    Le service API Gateway crée la passerelle d'API et installe le certificat TLS personnalisé et la clé privée.

  3. Obtenez l'adresse IP publique de la passerelle d'API.
Etape 4 : enregistrez la correspondance entre le nom de domaine personnalisé et l'adresse IP publique de la passerelle d'API auprès du fournisseur DNS de votre choix.

Les étapes précises pour enregistrer la correspondance entre le nom de domaine personnalisé d'une passerelle d'API et son adresse IP publique dépendent du fournisseur DNS que vous choisissez. Généralement, vous allez créer un enregistrement (en particulier un enregistrement de type A) dans la configuration du fournisseur DNS. L'enregistrement associe le nom de domaine configuré lors de la demande du certificat TLS auprès de l'autorité de certification choisie à l'adresse IP publique que le service API Gateway affecte à la nouvelle passerelle d'API. Pour plus d'informations, reportez-vous à la documentation du fournisseur DNS choisi.

Utilisation d'une ressource de certificat de service Certificates pour configurer un nom de domaine personnalisé pour une passerelle d'API

Pour utiliser une ressource de certificat de service Certificates afin de configurer un nom de domaine personnalisé pour une passerelle d'API, procédez comme suit :

Etape 1 : création d'une ressource de certificat du service Certificates

Vous pouvez utiliser le service Certificates de plusieurs façons pour créer une ressource de certificat lors de la configuration d'un nom de domaine personnalisé pour une passerelle d'API :

  • Vous pouvez utiliser le service Certificates pour émettre un certificat TLS que vous prévoyez de gérer en interne avec le service Certificates. Pour plus d'informations sur la création d'une ressource de certificat de service Certificates de cette manière, reportez-vous à Création d'un certificat.
  • Vous pouvez utiliser le service Certificates pour importer un certificat TLS émis par une autorité de certification tierce que vous prévoyez de gérer en interne avec le service Certificates. Pour plus d'informations sur la création d'une ressource de certificat de service Certificates de cette manière, reportez-vous à Import d'un certificat.

Bien que vous puissiez utiliser le service Certificates pour émettre un certificat TLS que vous prévoyez de gérer en externe avec une autorité de certification tierce, vous ne pouvez pas utiliser un tel certificat TLS géré en externe lors de la configuration d'un nom de domaine personnalisé pour une passerelle d'API.

Tenez également compte des éléments suivants :

  • Le certificat TLS :
    • doit être au format X.509 encodé PEM,
    • doit commencer par -----BEGIN CERTIFICATE-----,
    • doit se terminer par -----END CERTIFICATE-----,
    • ne doit pas dépasser 4 096 bits.
  • Le certificat TLS doit avoir été créé à l'aide de l'un des types de profil de certificat pris en charge, comme suit :
    • Types de profil de certificat pris en charge : Serveur TLS ou Client ; Serveur TLS.
    • Types de profil de certificat non pris en charge : Client TLS ; Signe de code TLS.
  • Clé privée utilisée pour obtenir le certificat TLS :
    • doit être une clé RSA,
    • doit être au format X.509 encodé PEM,
    • doit commencer par -----BEGIN RSA PRIVATE KEY-----,
    • doit se terminer par -----END RSA PRIVATE KEY-----,
    • ne doit pas être protégée par une phrase de passe,
    • doit être comprise entre 2 048 et 4 096 bits.
Etape 2 : spécification de la ressource de certificat Certificates Service lors de la création d'une passerelle d'API

Pour indiquer la ressource de certificat de service Certificates lors de la création d'une passerelle d'API, procédez comme suit :

  1. Suivez les instructions dans Création d'une passerelle d'API pour créer une passerelle d'API à l'aide de la console ou de l'interface de ligne de commande.

  2. Spécifiez la ressource de certificat de service Certificates comme décrit dans les instructions :

    • Si vous utilisez la console : utilisez le champ Certificat.
    • Si vous utilisez l'interface de ligne de commande : définissez la propriété --certificate-id <certificate-ocid>.

    Le service API Gateway crée la passerelle d'API et installe le certificat TLS personnalisé et la clé privée.

  3. Obtenez l'adresse IP publique de la passerelle d'API.
Etape 3 : enregistrement de la correspondance entre le nom de domaine personnalisé et l'adresse IP publique de la passerelle d'API auprès du fournisseur DNS de votre choix

Les étapes précises pour enregistrer la correspondance entre le nom de domaine personnalisé d'une passerelle d'API et son adresse IP publique dépendent du fournisseur DNS que vous choisissez. Généralement, vous allez créer un enregistrement (en particulier un enregistrement de type A) dans la configuration du fournisseur DNS. L'enregistrement associe le nom de domaine configuré lors de la demande du certificat TLS auprès de l'autorité de certification choisie à l'adresse IP publique que le service API Gateway affecte à la nouvelle passerelle d'API. Pour plus d'informations, reportez-vous à la documentation du fournisseur DNS choisi.

Renouvellement des certificats TLS personnalisés utilisés par les passerelles d'API

Les certificats TLS sont valides pour une période limitée (généralement un ou deux ans) au-delà de laquelle ils expirent. Si le certificat TLS utilisé par une passerelle d'API expire, les appels à une API déployée sur la passerelle d'API peuvent être marqués comme non sécurisés par le client d'API (par exemple, par un navigateur ou par l'outil de ligne de commande curl) et bloqués. Pour éviter les appels bloqués, vous devez renouveler les certificats TLS avant leur expiration (ils sont parfois appelés certificats de rotation).

Si le service API Gateway a obtenu le certificat TLS d'origine pour vous, il le renouvelle automatiquement auprès de l'autorité de certification désignée par Oracle avant son expiration. Toutefois, si vous avez obtenu un certificat TLS personnalisé par vous-même, vous êtes responsable de son renouvellement auprès de l'autorité de certification choisie avant son expiration. Lorsque vous demandez le renouvellement d'un certificat TLS, l'autorité de certification renvoie un certificat TLS entièrement nouveau.

La procédure de renouvellement d'un certificat TLS personnalisé utilisé par les passerelles d'API varie selon que vous avez créé des ressources de certificat API Gateway ou des ressources de certificat de service Certificates.

Renouvellement de certificats TLS personnalisés pour les ressources de certificat API Gateway

Lorsque vous avez créé une ressource de certificat API Gateway utilisée par une passerelle d'API, vous ne pouvez pas simplement mettre à jour la ressource de certificat API Gateway existante avec le nouveau certificat TLS. Au lieu de cela, vous créez une ressource de certificat API Gateway, vous lui ajoutez le nouveau certificat TLS, puis vous mettez à jour toutes les passerelles d'API qui ont utilisé la ressource de certificat précédente pour qu'elles utilisent la nouvelle ressource de certificat.

Pour renouveler le certificat TLS personnalisé utilisé par une passerelle d'API, procédez comme suit :

  1. Soumettez une demande de renouvellement de certificat TLS à l'autorité de certification auprès de laquelle vous avez initialement obtenu le certificat TLS. Les étapes exactes pour renouveler un certificat TLS dépendent de l'autorité de certification utilisée. Reportez-vous toujours à la documentation de l'autorité de certification concernée pour obtenir des informations plus détaillées.

    Lorsque vous créez la demande de renouvellement de certificat, une clé publique est ajoutée à la demande et une clé privée correspondante est également générée et stockée dans un fichier local. Notez l'emplacement de cette clé privée car vous l'utiliserez pour configurer la nouvelle ressource de certificat API Gateway.

    L'autorité de certification renvoie un fichier contenant le nouveau certificat TLS personnalisé et généralement des fichiers contenant des certificats intermédiaires qui forment une chaîne de certificat partant du certificat TLS jusqu'à l'autorité de certification.

  2. Créer une ressource de certificat API Gateway et lui ajouter le nouveau certificat TLS, les certificats intermédiaires et la nouvelle clé privée (reportez-vous à Etape 2 : création d'une ressource de certificat API Gateway).
  3. Mettez à jour toutes les passerelles d'API existantes qui ont utilisé la ressource de certificat API Gateway d'origine pour qu'elles utilisent la nouvelle ressource de certificat API Gateway (reportez-vous à Mise à jour d'une passerelle d'API).
  4. Si aucune passerelle d'API n'utilise la ressource de certificat API Gateway d'origine, supprimez cette dernière :
    • Si vous utilisez la console : sur la page Certificats, sélectionnez le menu Actions (trois points) en regard de la ressource de certificat API Gateway d'origine à supprimer, puis sélectionnez Supprimer.
    • Si vous utilisez l'interface de ligne de commande : exécutez la commande suivante pour supprimer la ressource de certificat API Gateway d'origine :
      oci api-gateway certificate delete --certificate-id <certificate-ocid>

    Vous ne pouvez pas supprimer une ressource de certificat API Gateway si des passerelles d'API l'utilisent toujours.

Renouvellement de certificats TLS personnalisés pour les ressources de certificat du service Certificates

Lorsque vous avez créé une ressource de certificat de service Certificates utilisée par une passerelle d'API, vous pouvez utiliser le service Certificates pour renouveler le certificat TLS en créant une version de certificat. La nouvelle version de certificat a le même OCID que le certificat d'origine. Vous n'avez donc pas besoin de modifier les passerelles d'API pour utiliser une nouvelle ressource de certificat. Le service API Gateway met automatiquement à jour les passerelles d'API pour utiliser la nouvelle version. Notez que certaines restrictions s'appliquent aux certificats que le service Certificates peut renouveler. Reportez-vous à la section Renewing a Certificate.

Utilisation de l'API

Pour plus d'informations sur l'utilisation de l'API et la signature des demandes, reportez-vous à la documentation relative à l'API REST et à Informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.

Utilisez les opérations suivantes :

  • Opération CreateCertificate pour créer une ressource de certificat API Gateway.
  • Opération DeleteCertificate pour supprimer une ressource de certificat API Gateway existante.
  • Opération UpdateCertificate pour modifier les détails d'une ressource de certificat API Gateway existante.
  • Opération GetCertificate pour afficher les détails d'une ressource de certificat API Gateway existante.
  • Opération ListCertificates pour répertorier tous les certificats dans un compartiment.
  • Opération ChangeCertificateCompartment pour modifier le compartiment auquel appartient une ressource de certificat API Gateway existante.