Documentazione di Oracle Cloud Infrastructure

Impostazione dei domini personalizzati e dei certificati TLS

Scopri come impostare domini personalizzati e certificati TLS con API Gateway.

I gateway API creati con il servizio API Gateway sono abilitati per TLS e, di conseguenza, richiedono certificati TLS (in precedenza certificati SSL) emessi da un'autorità di certificazione per proteggerli. È possibile fare in modo che il servizio API Gateway ottenga automaticamente un certificato TLS predefinito o che sia possibile ottenere manualmente un certificato TLS personalizzato da un'autorità di certificazione. Per specificare un determinato nome di dominio personalizzato per un gateway API, è necessario ottenere un certificato TLS personalizzato anziché ottenere un certificato TLS predefinito dal servizio API Gateway.

Quando si crea un gateway API, si specifica che il gateway API utilizza una delle seguenti opzioni:

  • Certificato TLS predefinito che il servizio API Gateway ottiene automaticamente. In questo caso, il servizio API Gateway richiede un certificato TLS da un'autorità di certificazione designata da Oracle.
  • Certificato TLS personalizzato che si ottiene dall'autorità di certificazione scelta. La richiesta all'autorità di certificazione include il nome di dominio personalizzato. L'autorità di certificazione restituisce un file contenente il certificato TLS personalizzato e in genere uno o più file contenenti certificati intermedi che formano una catena di certificati dal certificato TLS all'autorità di certificazione.

È possibile ottenere un certificato TLS personalizzato in diversi modi:

  • È possibile ottenere un certificato TLS personalizzato da un'autorità di certificazione di terze parti, quindi creare una risorsa di certificato API Gateway che comprende il certificato TLS personalizzato, eventuali certificati intermedi e la chiave privata utilizzata per generare il certificato TLS. È quindi possibile selezionare la risorsa di certificato API Gateway quando si crea un nuovo gateway API.
  • Per ottenere un certificato TLS personalizzato è possibile utilizzare il servizio Certificati per creare una risorsa certificato. Il servizio Certificati può emettere direttamente un certificato oppure è possibile importare un certificato emesso da un'autorità di certificazione di terze parti nel servizio Certificati. È quindi possibile selezionare la risorsa del certificato di servizio Certificati quando si crea un nuovo gateway API.

Il modo in cui viene ottenuto il certificato TLS determina la quantità di controllo disponibile sul nome di dominio del gateway API:

  • Se il servizio API Gateway ottiene automaticamente un certificato TLS predefinito, il servizio API Gateway fornisce al gateway API un nome di dominio predefinito generato automaticamente. Il nome di dominio predefinito generato automaticamente comprende una stringa casuale di caratteri seguita da .apigateway.<region-identifier>.oci.customer-oci.com. Ad esempio, laksjd.apigateway.us-phoenix-1.oci.customer-oci.com .
  • Se si ottiene un certificato TLS personalizzato, il servizio API Gateway fornisce al gateway API il nome di dominio personalizzato specificato nella richiesta all'autorità di certificazione.

Il modo in cui viene ottenuto il certificato TLS determina anche la responsabilità di registrare il mapping tra il nome di dominio del gateway API e il suo indirizzo IP pubblico con un provider DNS:

  • Se il servizio API Gateway ottiene automaticamente un certificato TLS predefinito, il servizio API Gateway si assume la responsabilità della registrazione del mapping tra il nome di dominio predefinito generato automaticamente dal gateway API e il relativo indirizzo IP pubblico con il servizio Oracle Cloud Infrastructure DNS.
  • Se ottieni tu stesso un certificato TLS personalizzato, sei responsabile della registrazione del mapping tra il nome di dominio personalizzato del gateway API e il suo indirizzo IP pubblico con il provider DNS scelto come record A.

Allo stesso modo, la gestione della scadenza e del rinnovo del certificato TLS è determinata dal modo in cui il certificato TLS viene originariamente ottenuto:

  • Se il servizio API Gateway ottiene automaticamente un certificato TLS predefinito, il servizio API Gateway rinnova automaticamente il certificato TLS con l'autorità di certificazione designata da Oracle prima della scadenza.
  • Se si ottiene un certificato TLS personalizzato personalmente, si è responsabili del rinnovo del certificato TLS con l'autorità di certificazione scelta prima della scadenza. Vedere Rinnovo dei certificati TLS personalizzati utilizzati dai gateway API.

Per alcuni clienti, l'uso di domini personalizzati e certificati TLS personalizzati è obbligatorio. Ad esempio, se stai utilizzando Oracle Cloud Infrastructure Government Cloud, devi:

  • ottenere un certificato TLS solo da una determinata autorità di certificazione approvata
  • Utilizza solo un determinato provider DNS approvato

Per gli altri clienti, è probabile che l'uso di domini personalizzati sia basato su requisiti commerciali. Ad esempio, in genere si desidera includere il nome dell'azienda nel nome di dominio del gateway API, anziché utilizzare la stringa casuale generata automaticamente di caratteri seguita da .apigateway.<region-identifier>.oci.customer-oci.com.

Nota:

  • Non è possibile eliminare una risorsa di certificato API Gateway o una risorsa di certificato del servizio Certificates attualmente utilizzata da un gateway API. Per eliminare la risorsa certificato, è necessario prima rimuoverla da qualsiasi gateway API che la utilizza.
  • È possibile specificare una sola risorsa certificato API Gateway o una sola risorsa certificato servizio Certificati per un gateway API.
  • Non è possibile aggiornare una risorsa di certificato API Gateway dopo averla creata. È tuttavia possibile aggiornare una risorsa del certificato di servizio Certificati.
Importante

Per i sistemi pubblici o di produzione, Oracle consiglia di utilizzare certificati TLS personalizzati. Oracle consiglia di utilizzare solo i certificati TLS predefiniti ottenuti dal servizio API Gateway per i sistemi privati o non di produzione, ad esempio per lo sviluppo e il test.

Come ottenere un certificato TLS personalizzato per impostare un nome di dominio personalizzato per un gateway API

È possibile impostare un nome di dominio personalizzato e un certificato TLS personalizzato in diversi modi:

Uso di una risorsa certificato gateway API per impostare un nome di dominio personalizzato per un gateway API

Per utilizzare una risorsa di certificato API Gateway per impostare un nome di dominio personalizzato per un gateway API, procedere come segue.

Passo 1: ottenere un certificato TLS dall'autorità di certificazione scelta

I passaggi precisi per ottenere un certificato TLS saranno diversi, secondo l'autorità di certificazione che si sceglie di utilizzare. Ad un livello elevato, i passaggi saranno probabilmente in qualche modo simili ai seguenti, ma fare sempre riferimento alla documentazione dell'autorità di certificazione per informazioni più dettagliate:

  1. Creare una richiesta di firma certificato per l'autorità di certificazione scelta.

    In genere, nella richiesta di firma del certificato verranno incluse informazioni quali il nome dell'organizzazione, la località e il paese.

    Includerai anche un nome comune nella richiesta di firma del certificato come nome di dominio completamente qualificato del sito che desideri proteggere. Il nome comune in genere connette il certificato TLS a un determinato dominio. Questo nome dominio viene utilizzato come nome dominio personalizzato per i gateway API.

    Quando si crea una richiesta di firma certificato, alla richiesta viene aggiunta una chiave pubblica e viene generata e memorizzata in un file locale anche una chiave privata corrispondente. Questa chiave privata verrà utilizzata quando si imposta una risorsa di certificato API Gateway, quindi prenderne nota della posizione. La chiave privata utilizzata per ottenere un certificato TLS:

    • deve essere una chiave RSA
    • deve essere in formato X.509 con codifica PEM
    • deve iniziare con -----BEGIN RSA PRIVATE KEY-----
    • deve terminare con -----END RSA PRIVATE KEY-----
    • non deve essere protetta da una passphrase
    • deve avere una lunghezza minima di 2048 bit e non deve superare i 4096 bit

  2. Sottomettere la richiesta di firma del certificato all'autorità di certificazione.

    L'autorità di certificazione restituisce:

    • un file contenente il certificato TLS personalizzato per il gateway API stesso (noto come 'certificato foglia' o 'certificato entità finale')
    • in genere uno o più file contenenti certificati intermedi che formano una catena di certificati dal certificato foglia all'autorità di certificazione

È ora possibile utilizzare questi file di certificato per creare una risorsa di certificato API Gateway.

Passo 2: creare una risorsa certificato gateway API

Una risorsa certificato API Gateway è una definizione denominata di un certificato TLS che è possibile utilizzare quando si crea o aggiorna un gateway API utilizzando il servizio API Gateway.

Una risorsa certificato API Gateway comprende:

  • un nome scelto per la risorsa certificato stessa
  • il certificato TLS personalizzato per il gateway API (il 'certificato foglia' o 'certificato entità finale') restituito dall'autorità di certificazione
  • eventuali certificati intermedi che formano una catena di certificati dal certificato foglia all'autorità di certificazione
  • la chiave privata associata alla chiave pubblica inclusa nella richiesta di firma del certificato originale

Tenere presente che non è possibile aggiornare una risorsa di certificato API Gateway dopo averla creata.

È possibile creare una risorsa certificato API Gateway utilizzando la console o l'interfaccia CLI.

Utilizzo di Console

Per creare una risorsa certificato API Gateway utilizzando la console:

  1. Nella console aprire il menu di navigazione e fare clic su Servizi per sviluppatori. In Gestione API, fare clic su Gateway.
  2. Scegliere un compartimento in cui si dispone dell'autorizzazione per lavorare.

  3. Nella pagina Certificati, fare clic su Aggiungi certificato e specificare quanto segue.

    • Nome: il nome della nuova risorsa di certificato API Gateway. Evitare di fornire informazioni riservate.
    • Certificato: il certificato TLS personalizzato restituito dall'autorità di certificazione (il 'certificato foglia' o 'certificato entità finale'). Trascinare, selezionare o incollare un certificato TLS valido. Si noti che il certificato TLS specificato è il seguente:
      • deve essere in formato X.509 con codifica PEM
      • deve iniziare con -----BEGIN CERTIFICATE-----
      • deve terminare con -----END CERTIFICATE-----
      • non deve superare i 4096 bit di lunghezza

    • Certificati intermedi: (facoltativo) se esistono uno o più certificati intermedi che formano una catena di certificati dal certificato TLS all'autorità di certificazione, includere il contenuto dei file di certificati intermedi nell'ordine corretto. L'ordine corretto inizia con il certificato firmato direttamente dall'autorità di certificazione radice attendibile in basso, con qualsiasi certificato aggiuntivo direttamente sopra l'autorità di certificazione che lo ha firmato. Ad esempio:

      -----BEGIN CERTIFICATE-----
<PEM_encoded_certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<PEM_encoded_certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<PEM_encoded_certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<PEM_encoded_certificate>
-----END CERTIFICATE-----

      Se il contenuto dei file di certificato intermedi è stato concatenato in un singolo file della catena di certificati nell'ordine corretto, trascinare e rilasciare il file, selezionare il file o incollare il contenuto del file.

      Se non si dispone di un file concatenato della catena di certificati, incollare il contenuto dei singoli file di certificato nell'ordine corretto.

      La lunghezza combinata dei certificati intermedi specificata non deve superare 10240 bit.

    • Chiave privata: la chiave privata utilizzata per ottenere il certificato TLS dall'autorità di certificazione. Trascinare, selezionare o incollare una chiave privata valida in questo campo. Tenere presente che la chiave specificata è la seguente:
      • deve essere una chiave RSA
      • deve essere in formato X.509 con codifica PEM
      • deve iniziare con -----BEGIN RSA PRIVATE KEY-----
      • deve terminare con -----END RSA PRIVATE KEY-----
      • non deve essere protetta da una passphrase
      • deve avere una lunghezza minima di 2048 bit e non deve superare i 4096 bit
  4. Fare clic su Crea per creare la risorsa di certificato API Gateway.

Uso dell'interfaccia CLI

Per creare una risorsa certificato API Gateway utilizzando l'interfaccia CLI:

  1. Configurare l'ambiente client per l'uso dell'interfaccia CLI (Configuring Your Client Environment to use the CLI for API Gateway Development).

  2. Aprire un prompt dei comandi ed eseguire oci api-gateway certificate create per creare la risorsa di certificato API Gateway:

    oci api-gateway certificate create --display-name "<certificate-name>" --compartment-id <compartment-ocid> --certificate-file <certificate-file-path> --intermediate-certificates-file <intermediate-certificates-file-path> --private-key-file <private-key-file-path>

    dove:

    • <certificate-name> è il nome della nuova risorsa di certificato API Gateway. Evitare di fornire informazioni riservate.
    • <compartment-ocid> è l'OCID del compartimento a cui appartiene la nuova risorsa certificato API Gateway.

    • <certificate-file-path> è il percorso e il nome del file contenente il certificato foglia restituito dall'autorità di certificazione. Ad esempio, ~/.certs/cert.pem. Si noti che il certificato foglia nel file specificato:

      • deve essere in formato X.509 con codifica PEM
      • deve iniziare con -----BEGIN CERTIFICATE-----
      • deve terminare con -----END CERTIFICATE-----
      • non deve superare i 4096 bit di lunghezza

    • <intermediate-certificates-file-path> è facoltativamente il percorso e il nome di un file contenente uno o più certificati intermedi che formano una catena di certificati dal certificato foglia all'autorità di certificazione. Ad esempio, ~/.certs/int_cert.pem. Se il file contiene più certificati intermedi, i certificati intermedi devono essere nell'ordine corretto. L'ordine corretto termina con il certificato firmato direttamente dall'autorità di certificazione radice attendibile, con qualsiasi certificato aggiuntivo che precede direttamente l'autorità di certificazione che lo ha firmato. Ad esempio: 

      -----BEGIN CERTIFICATE-----<PEM_encoded_certificate>-----END CERTIFICATE----------BEGIN CERTIFICATE-----<PEM_encoded_certificate>-----END CERTIFICATE----------BEGIN CERTIFICATE-----<PEM_encoded_certificate>-----END CERTIFICATE----------BEGIN CERTIFICATE-----<PEM_encoded_certificate>-----END CERTIFICATE-----

      La lunghezza combinata dei certificati intermedi specificata non deve superare 10240 bit.

    • <private-key-file-path> è il percorso e il nome del file contenente la chiave privata utilizzata per ottenere il certificato TLS dall'autorità di certificazione. Ad esempio, ~/.certs/key.pem. La chiave privata del file specificato è la seguente:

      • deve essere una chiave RSA
      • deve essere in formato X.509 con codifica PEM
      • deve iniziare con -----BEGIN RSA PRIVATE KEY-----
      • deve terminare con -----END RSA PRIVATE KEY-----
      • non deve essere protetta da una passphrase
      • deve avere una lunghezza minima di 2048 bit e non deve superare i 4096 bit

    Ad esempio:

    oci api-gateway certificate create --display-name "Acme gateway certificate" --compartment-id ocid1.compartment.oc1..aaaaaaaa7______ysq --certificate-file ~/.certs/cert.pem --private-key-file ~/.certs/key.pem

    La risposta al comando include quanto riportato di seguito.

    • OCID della nuova risorsa certificato API Gateway.
    • Stato del ciclo di vita (ad esempio, ACTIVE, FAILED).
    • ID della richiesta di lavoro per creare la risorsa certificato API Gateway (i dettagli delle richieste di lavoro sono disponibili per sette giorni dopo il completamento, l'annullamento o l'errore).

    Se si desidera che il comando attenda la restituzione del controllo fino a quando la risorsa certificato API Gateway non è attiva (o la richiesta non è riuscita), includere uno o entrambi i parametri riportati di seguito.

    • --wait-for-state ACTIVE
    • --wait-for-state FAILED

    Ad esempio:

    oci api-gateway certificate create --display-name "Acme gateway certificate" --compartment-id ocid1.compartment.oc1..aaaaaaaa7______ysq --certificate-file ~/.certs/cert.pem --private-key-file ~/.certs/key.pem --wait-for-state ACTIVE

Per ulteriori informazioni sull'uso dell'interfaccia CLI, vedere Command Line Interface (CLI, interfaccia a riga di comando). Per un elenco completo dei flag e delle opzioni disponibili per i comandi della CLI, vedere la Guida della CLI.

Passo 3: specificare la risorsa del certificato gateway API durante la creazione di un gateway API

Per specificare la risorsa certificato API Gateway durante la creazione di un gateway API:

  1. Seguire le istruzioni riportate in Creazione di un gateway API per creare un gateway API utilizzando la console o l'interfaccia CLI.

  2. Specificare la risorsa del certificato API Gateway come descritto nelle istruzioni.

    • Se si utilizza la console: utilizzare il campo Certificato.
    • Se si utilizza l'interfaccia CLI: impostare la proprietà --certificate-id <certificate-ocid>.

    Il servizio API Gateway crea il nuovo gateway API e installa il certificato e la chiave privata TLS personalizzati.

  3. Ottenere l'indirizzo IP pubblico del gateway API.
Passo 4: Registra il mapping tra il nome di dominio personalizzato del gateway API e l'indirizzo IP pubblico con il provider DNS scelto

I passi precisi per registrare il mapping tra il nome di dominio personalizzato di un gateway API e il relativo indirizzo IP pubblico dipendono dal provider DNS che si sceglie di utilizzare. In genere, si creerà un nuovo record (in particolare un nuovo record A) nella configurazione del provider DNS. Il record associa il nome di dominio configurato durante la richiesta del certificato TLS dall'autorità di certificazione scelta all'indirizzo IP pubblico assegnato dal servizio API Gateway al nuovo gateway API. Per informazioni più dettagliate, fare riferimento alla documentazione del provider DNS scelto.

Utilizzo di una risorsa certificato servizio certificati per impostare un nome di dominio personalizzato per un gateway API

Per utilizzare una risorsa del certificato di servizio Certificati per impostare un nome di dominio personalizzato per un gateway API, procedere come segue.

Passo 1: creare una risorsa certificato del servizio certificati

È possibile utilizzare il servizio Certificati in diversi modi per creare una risorsa certificato quando si imposta un nome di dominio personalizzato per un gateway API:

  • È possibile utilizzare il servizio Certificati per emettere un certificato TLS che si prevede di gestire internamente con il servizio Certificati. Per ulteriori informazioni sulla creazione di una risorsa certificato di servizio Certificati in questo modo, vedere Creazione di un certificato.
  • È possibile utilizzare il servizio Certificati per importare un certificato TLS emesso da un'autorità di certificazione di terze parti, che si prevede di gestire internamente con il servizio Certificati. Per ulteriori informazioni sulla creazione di una risorsa certificato di servizio Certificati in questo modo, vedere Importazione di un certificato.

Tenere presente che, sebbene sia possibile utilizzare il servizio Certificati per emettere un certificato TLS che si prevede di gestire esternamente con un'autorità di certificazione di terze parti, non è possibile utilizzare tale certificato TLS gestito esternamente quando si imposta un nome di dominio personalizzato per un gateway API.

Tenere presente quanto segue.

  • Il certificato TLS:
    • deve essere in formato X.509 con codifica PEM
    • deve iniziare con -----BEGIN CERTIFICATE-----
    • deve terminare con -----END CERTIFICATE-----
    • non deve superare i 4096 bit di lunghezza
  • Il certificato TLS deve essere stato creato utilizzando uno dei tipi di profilo certificato supportati, come indicato di seguito.
    • Tipi di profilo certificato supportati: TLS Server or Client; TLS server.
    • Tipi di profilo certificato non supportati: TLS Client; TLS Code Sign.
  • La chiave privata utilizzata per ottenere il certificato TLS:
    • deve essere una chiave RSA
    • deve essere in formato X.509 con codifica PEM
    • deve iniziare con -----BEGIN RSA PRIVATE KEY-----
    • deve terminare con -----END RSA PRIVATE KEY-----
    • non deve essere protetta da una passphrase
    • deve avere una lunghezza minima di 2048 bit e non deve superare i 4096 bit
Passo 2: specificare la risorsa certificato del servizio certificati quando si crea un gateway API

Per specificare la risorsa del certificato di servizio Certificati durante la creazione di un gateway API:

  1. Seguire le istruzioni riportate in Creazione di un gateway API per creare un gateway API utilizzando la console o l'interfaccia CLI.

  2. Specificare la risorsa del certificato di servizio Certificati come descritto nelle istruzioni.

    • Se si utilizza la console: utilizzare il campo Certificato.
    • Se si utilizza l'interfaccia CLI: impostare la proprietà --certificate-id <certificate-ocid>.

    Il servizio API Gateway crea il nuovo gateway API e installa il certificato e la chiave privata TLS personalizzati.

  3. Ottenere l'indirizzo IP pubblico del gateway API.
Passo 3: Registra il mapping tra il nome di dominio personalizzato e l'indirizzo IP pubblico del gateway API con il provider DNS scelto

I passi precisi per registrare il mapping tra il nome di dominio personalizzato di un gateway API e il relativo indirizzo IP pubblico dipendono dal provider DNS che si sceglie di utilizzare. In genere, si creerà un nuovo record (in particolare un nuovo record A) nella configurazione del provider DNS. Il record associa il nome di dominio configurato durante la richiesta del certificato TLS dall'autorità di certificazione scelta all'indirizzo IP pubblico assegnato dal servizio API Gateway al nuovo gateway API. Per informazioni più dettagliate, fare riferimento alla documentazione del provider DNS scelto.

Rinnovo dei certificati TLS personalizzati utilizzati dai gateway API

I certificati TLS sono validi per un periodo di tempo limitato (in genere uno o due anni) prima della loro scadenza. Se il certificato TLS utilizzato da un gateway API scade, le chiamate a un'API distribuita nel gateway API potrebbero essere contrassegnate come non sicure dal client API (ad esempio, da un browser o dallo strumento della riga di comando curl) e bloccate. Per evitare chiamate bloccate, è necessario rinnovare i certificati TLS prima della loro scadenza (a volte indicati come certificati di rotazione).

Se il servizio API Gateway ha ottenuto automaticamente il certificato TLS originale, il servizio API Gateway rinnova automaticamente il certificato TLS con l'autorità di certificazione designata da Oracle prima della scadenza. Tuttavia, se hai ottenuto un certificato TLS personalizzato, sei responsabile del rinnovo del certificato TLS personalizzato con l'autorità di certificazione scelta prima della scadenza. Quando si richiede il rinnovo di un certificato TLS, l'autorità di certificazione restituisce un certificato TLS completamente nuovo.

La procedura per il rinnovo di un certificato TLS personalizzato utilizzato dai gateway API dipende dal fatto che siano state create risorse di certificato di API Gateway o risorse di certificato del servizio Certificates.

Rinnovo dei certificati TLS personalizzati per le risorse dei certificati gateway API

Quando è stata creata una risorsa di certificato API Gateway utilizzata da un gateway API, non è sufficiente aggiornare la risorsa di certificato API Gateway esistente con il nuovo certificato TLS. In alternativa, è possibile creare una nuova risorsa certificato API Gateway, aggiungere il nuovo certificato TLS alla nuova risorsa certificato, quindi aggiornare eventuali gateway API che utilizzavano la risorsa certificato precedente per utilizzare la nuova risorsa certificato.

Per rinnovare il certificato TLS personalizzato utilizzato da un gateway API:

  1. Inviare una richiesta di rinnovo del certificato TLS all'autorità di certificazione da cui è stato originariamente ottenuto il certificato TLS. La procedura esatta per il rinnovo di un certificato TLS dipende dall'autorità di certificazione utilizzata, pertanto per informazioni più dettagliate fare sempre riferimento alla documentazione dell'autorità di certificazione.

    Quando si crea la richiesta di rinnovo del certificato, viene aggiunta una chiave pubblica alla richiesta e viene generata e memorizzata in un file locale anche una chiave privata corrispondente. Questa chiave privata verrà utilizzata durante l'impostazione della nuova risorsa di certificato API Gateway, pertanto prenderne nota della posizione.

    L'autorità di certificazione restituisce un file contenente il nuovo certificato TLS personalizzato e in genere uno o più file contenenti certificati intermedi che formano una catena di certificati dal certificato TLS all'autorità di certificazione.

  2. Creare una nuova risorsa di certificato API Gateway e aggiungervi il nuovo certificato TLS, eventuali certificati intermedi e la nuova chiave privata (vedere Passo 2: creare una risorsa di certificato API Gateway).
  3. Aggiornare tutti i gateway API esistenti che hanno utilizzato la risorsa di certificato originale API Gateway per utilizzare la nuova risorsa di certificato API Gateway (vedere Aggiornamento di un gateway API o di una distribuzione API).
  4. Se non sono ancora presenti gateway API che utilizzano la risorsa di certificato originale API Gateway, eliminare la risorsa di certificato originale:
    • Se si utilizza la console: nella pagina Certificati fare clic su il menu Azioni (Menu Azioni) accanto alla risorsa di certificato originale API Gateway che si desidera eliminare, quindi fare clic su Elimina.
    • Se si utilizza l'interfaccia CLI: utilizzare il comando riportato di seguito per eliminare la risorsa certificato API Gateway originale.
      oci api-gateway certificate delete --certificate-id <certificate-ocid>

    Tenere presente che non è possibile eliminare una risorsa di certificato API Gateway se sono ancora presenti gateway API che la utilizzano.

Rinnovo dei certificati TLS personalizzati per le risorse dei certificati di servizio certificati

Dopo aver creato una risorsa certificato di servizio Certificati utilizzata da un gateway API, è possibile utilizzare il servizio Certificati per rinnovare il certificato TLS creando una nuova versione del certificato. La nuova versione del certificato ha lo stesso OCID del certificato originale, pertanto non è necessario modificare i gateway API per utilizzare una nuova risorsa di certificato. Il servizio Gateway API aggiorna automaticamente i gateway API per l'uso della nuova versione. Tenere presente che esistono alcune limitazioni per i certificati che il servizio Certificati può rinnovare. Vedere Rinnovamento di un certificato.

Utilizzo dell'API

Per informazioni sull'uso dell'API e delle richieste di firma, consulta la documentazione dell'API REST e le credenziali di sicurezza. Per informazioni sugli SDK, vedere SDK e l'interfaccia CLI.

Utilizzare:

  • Operazione CreateCertificate per creare una nuova risorsa di certificato API Gateway.
  • Operazione DeleteCertificate per eliminare una risorsa di certificato API Gateway esistente.
  • Operazione UpdateCertificate per modificare i dettagli di una risorsa di certificato API Gateway esistente.
  • Operazione GetCertificate per visualizzare i dettagli di una risorsa di certificato API Gateway esistente.
  • Operazione ListCertificates per elencare tutti i certificati in un compartimento.
  • Operazione ChangeCertificateCompartment per modificare il compartimento a cui appartiene una risorsa certificato API Gateway esistente.