Impostazione dei domini personalizzati e dei certificati TLS
Scopri come impostare domini personalizzati e certificati TLS con API Gateway.
I gateway API creati con il servizio Gateway API sono abilitati per TLS e pertanto richiedono certificati TLS (precedentemente certificati SSL) emessi da un'autorità di certificazione per proteggerli. È possibile indirizzare il servizio Gateway API per ottenere automaticamente un certificato TLS predefinito (se la tenancy esiste nel realm OC1) oppure è possibile ottenere un certificato TLS personalizzato da un'autorità di certificazione personalmente. Per specificare un determinato nome di dominio personalizzato per un gateway API, è necessario ottenere un certificato TLS personalizzato anziché ottenere un certificato TLS predefinito dal servizio Gateway API.
Quando si crea un gateway API, si specifica che il gateway API utilizza una delle seguenti opzioni:
- Certificato TLS predefinito che il servizio Gateway API ottiene automaticamente (solo realm OC1). In questo caso, il servizio API Gateway richiede un certificato TLS da un'autorità di certificazione designata da Oracle.
- Certificato TLS personalizzato che si ottiene dall'autorità di certificazione scelta. La richiesta all'autorità di certificazione include il nome di dominio personalizzato. L'autorità di certificazione restituisce un file contenente il certificato TLS personalizzato e in genere uno o più file contenenti certificati intermedi che formano una catena di certificati dal certificato TLS all'autorità di certificazione.
È possibile ottenere un certificato TLS personalizzato in diversi modi:
- È possibile ottenere un certificato TLS personalizzato da un'autorità di certificazione di terze parti, quindi creare una risorsa di certificato API Gateway che comprenda il certificato TLS personalizzato, eventuali certificati intermedi e la chiave privata utilizzata per generare il certificato TLS. È quindi possibile selezionare tale risorsa di certificato gateway API durante la creazione di un nuovo gateway API.
- Per creare una risorsa certificato, è possibile ottenere un certificato TLS personalizzato utilizzando il servizio Certificati. Il servizio Certificati può emettere direttamente un certificato oppure è possibile importare un certificato emesso da un'autorità di certificazione di terze parti nel servizio Certificati. È quindi possibile selezionare la risorsa del certificato del servizio Certificati quando si crea un nuovo gateway API.
Il modo in cui viene ottenuto il certificato TLS determina la quantità di controllo disponibile sul nome di dominio del gateway API:
- Se il servizio Gateway API ottiene automaticamente un certificato TLS predefinito (solo realm OC1), il servizio Gateway API fornisce al gateway API un nome di dominio predefinito generato automaticamente. Il nome di dominio predefinito generato automaticamente comprende una stringa casuale di caratteri seguita da
.apigateway.<region-identifier>.oci.customer-oci.com
. Ad esempio,laksjd.apigateway.us-phoenix-1.oci.customer-oci.com
. - Se si ottiene un certificato TLS personalizzato personalmente, il servizio Gateway API fornisce al gateway API il nome di dominio personalizzato specificato nella richiesta all'autorità di certificazione.
Il modo in cui viene ottenuto il certificato TLS determina anche la responsabilità di registrare il mapping tra il nome di dominio del gateway API e il suo indirizzo IP pubblico con un provider DNS:
- Se il servizio Gateway API ottiene automaticamente un certificato TLS predefinito (solo per il realm OC1), il servizio Gateway API si assume la responsabilità di registrare il mapping tra il nome di dominio predefinito generato automaticamente dal gateway API e il relativo indirizzo IP pubblico con il servizio Oracle Cloud Infrastructure DNS.
- Se ottieni tu stesso un certificato TLS personalizzato, sei responsabile della registrazione del mapping tra il nome di dominio personalizzato del gateway API e il suo indirizzo IP pubblico con il provider DNS scelto come record A.
Allo stesso modo, la gestione della scadenza e del rinnovo del certificato TLS è determinata dal modo in cui il certificato TLS viene originariamente ottenuto:
- Se il servizio Gateway API ottiene automaticamente un certificato TLS predefinito (solo per il realm OC1), il servizio Gateway API rinnova automaticamente il certificato TLS con l'autorità di certificazione designata da Oracle prima della scadenza.
- Se si ottiene un certificato TLS personalizzato personalmente, si è responsabili del rinnovo del certificato TLS con l'autorità di certificazione scelta prima della scadenza. Vedere Rinnovo dei certificati TLS personalizzati utilizzati dai gateway API.
Per alcuni clienti, l'uso di domini personalizzati e certificati TLS personalizzati è obbligatorio. Ad esempio, se utilizzi Oracle Cloud Infrastructure Government Cloud, devi:
- ottenere un certificato TLS solo da una determinata autorità di certificazione approvata
- Utilizza solo un determinato provider DNS approvato
Per gli altri clienti, è probabile che l'uso di domini personalizzati sia basato su requisiti commerciali. Ad esempio, in genere si desidera includere il nome dell'azienda nel nome di dominio del gateway API, anziché utilizzare la stringa casuale generata automaticamente di caratteri seguita da .apigateway.<region-identifier>.oci.customer-oci.com
.
Nota:
- Non è possibile eliminare una risorsa del certificato del gateway API o una risorsa del certificato del servizio Certificati attualmente utilizzata da un gateway API. Per eliminare la risorsa certificato, è necessario prima rimuoverla da qualsiasi gateway API che la utilizza.
- È possibile specificare solo una risorsa certificato del gateway API o una risorsa certificato del servizio Certificati per un gateway API.
- Non è possibile aggiornare una risorsa certificato del gateway API dopo averla creata. Tuttavia, è possibile aggiornare una risorsa certificato del servizio Certificati.
- È possibile indirizzare il servizio Gateway API solo per ottenere automaticamente i certificati TLS predefiniti se la tenancy esiste nel realm OC1.
Per i sistemi pubblici o di produzione, Oracle consiglia di utilizzare certificati TLS personalizzati. Oracle consiglia di utilizzare solo i certificati TLS predefiniti ottenuti dal servizio gateway API per sistemi privati o non di produzione (ad esempio, per lo sviluppo e il test).
Come ottenere un certificato TLS personalizzato per impostare un nome di dominio personalizzato per un gateway API
È possibile impostare un nome di dominio personalizzato e un certificato TLS personalizzato in diversi modi:
- È possibile ottenere un certificato TLS personalizzato da un'autorità di certificazione di terze parti, quindi creare una risorsa di certificato API Gateway che comprenda il certificato TLS personalizzato, eventuali certificati intermedi e la chiave privata utilizzata per generare il certificato TLS. È quindi possibile selezionare tale risorsa di certificato gateway API durante la creazione di un nuovo gateway API. Vedere Uso di una risorsa certificato gateway API per impostare un nome di dominio personalizzato per un gateway API.
- È possibile ottenere un certificato TLS personalizzato utilizzando il servizio Certificati per creare una risorsa certificato Certificati (vedere Servizio Certificati). Il servizio Certificati può emettere direttamente un certificato oppure è possibile importare un certificato emesso da un'autorità di certificazione di terze parti nel servizio Certificati. È quindi possibile selezionare la risorsa del certificato del servizio Certificati quando si crea un nuovo gateway API. Vedere Utilizzo di una risorsa certificato del servizio certificati per l'impostazione di un nome di dominio personalizzato per un gateway API.
Uso di una risorsa certificato gateway API per impostare un nome di dominio personalizzato per un gateway API
Per utilizzare una risorsa certificato gateway API per impostare un nome di dominio personalizzato per un gateway API, effettuare le operazioni riportate di seguito.
I passaggi precisi per ottenere un certificato TLS saranno diversi, secondo l'autorità di certificazione che si sceglie di utilizzare. Ad un livello elevato, i passaggi saranno probabilmente in qualche modo simili ai seguenti, ma fare sempre riferimento alla documentazione dell'autorità di certificazione per informazioni più dettagliate:
-
Creare una richiesta di firma certificato per l'autorità di certificazione scelta.
In genere, nella richiesta di firma del certificato verranno incluse informazioni quali il nome dell'organizzazione, la località e il paese.
Includerai anche un nome comune nella richiesta di firma del certificato come nome di dominio completamente qualificato del sito che desideri proteggere. Il nome comune in genere connette il certificato TLS a un determinato dominio. Questo nome dominio viene utilizzato come nome dominio personalizzato per i gateway API.
Quando si crea una richiesta di firma certificato, alla richiesta viene aggiunta una chiave pubblica e viene generata e memorizzata in un file locale anche una chiave privata corrispondente. Questa chiave privata verrà utilizzata quando si imposta una risorsa certificato del gateway API, quindi prenderne nota della posizione. La chiave privata utilizzata per ottenere un certificato TLS:
- deve essere una chiave RSA
- deve essere in formato X.509 con codifica PEM
- deve iniziare con
-----BEGIN RSA PRIVATE KEY-----
- deve terminare con
-----END RSA PRIVATE KEY-----
- non deve essere protetta da una passphrase
- deve avere una lunghezza minima di 2048 bit e non deve superare i 4096 bit
-
Sottomettere la richiesta di firma del certificato all'autorità di certificazione.
L'autorità di certificazione restituisce:
- un file contenente il certificato TLS personalizzato per il gateway API stesso (noto come 'certificato foglia' o 'certificato entità finale')
- in genere uno o più file contenenti certificati intermedi che formano una catena di certificati dal certificato foglia all'autorità di certificazione
È ora possibile utilizzare questi file di certificato per creare una risorsa di certificato del gateway API.
Una risorsa certificato gateway API è una definizione denominata di un certificato TLS che è possibile utilizzare durante la creazione o l'aggiornamento di un gateway API mediante il servizio gateway API.
Una risorsa certificato gateway API comprende:
- un nome scelto per la risorsa certificato stessa
- il certificato TLS personalizzato per il gateway API (il 'certificato foglia' o 'certificato entità finale') restituito dall'autorità di certificazione
- eventuali certificati intermedi che formano una catena di certificati dal certificato foglia all'autorità di certificazione
- la chiave privata associata alla chiave pubblica inclusa nella richiesta di firma del certificato originale
Tenere presente che non è possibile aggiornare una risorsa certificato del gateway API dopo averla creata.
È possibile creare una risorsa certificato del gateway API utilizzando la console o l'interfaccia CLI.
Utilizzo di Console
Per creare una risorsa certificato gateway API mediante la console, effettuare le operazioni riportate di seguito.
- Nella pagina di elenco Certificati, selezionare Crea certificato. Se hai bisogno di aiuto per trovare la pagina di elenco, consulta Elenco delle risorse dei certificati gateway API.
-
Specificare i valori riportati di seguito per la risorsa certificato del gateway API.
- Nome: il nome della nuova risorsa certificato del gateway API. Evitare di fornire informazioni riservate.
- Certificato: il certificato TLS personalizzato restituito dall'autorità di certificazione (il 'certificato foglia' o 'certificato entità finale'). Trascinare, selezionare o incollare un certificato TLS valido. Si noti che il certificato TLS specificato è il seguente:
- deve essere in formato X.509 con codifica PEM
- deve iniziare con
-----BEGIN CERTIFICATE-----
- deve terminare con
-----END CERTIFICATE-----
- non deve superare i 4096 bit di lunghezza
-
Certificati intermedi: (facoltativo) se esistono uno o più certificati intermedi che formano una catena di certificati dal certificato TLS all'autorità di certificazione, includere il contenuto dei file di certificati intermedi nell'ordine corretto. L'ordine corretto inizia con il certificato firmato direttamente dall'autorità di certificazione radice attendibile in basso, con qualsiasi certificato aggiuntivo direttamente sopra l'autorità di certificazione che lo ha firmato. Ad esempio:
-----BEGIN CERTIFICATE----- <PEM_encoded_certificate> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <PEM_encoded_certificate> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <PEM_encoded_certificate> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <PEM_encoded_certificate> -----END CERTIFICATE-----
Se il contenuto dei file di certificato intermedi è stato concatenato in un singolo file della catena di certificati nell'ordine corretto, trascinare e rilasciare il file, selezionare il file o incollare il contenuto del file.
Se non si dispone di un file concatenato della catena di certificati, incollare il contenuto dei singoli file di certificato nell'ordine corretto.
La lunghezza combinata dei certificati intermedi specificata non deve superare 10240 bit.
- Chiave privata: la chiave privata utilizzata per ottenere il certificato TLS dall'autorità di certificazione. Drag and drop, select, or paste a valid private key in this field. Tenere presente che la chiave specificata è:
- deve essere una chiave RSA
- deve essere in formato X.509 con codifica PEM
- deve iniziare con
-----BEGIN RSA PRIVATE KEY-----
- deve terminare con
-----END RSA PRIVATE KEY-----
- non deve essere protetta da una passphrase
- deve avere una lunghezza minima di 2048 bit e non deve superare i 4096 bit
- Selezionare Crea per creare la risorsa certificato del gateway API.
Uso dell'interfaccia CLI
Per creare una risorsa certificato gateway API mediante l'interfaccia CLI:
- Configurare l'ambiente client per l'uso dell'interfaccia CLI (Configuring Your Client Environment to use the CLI for API Gateway Development).
-
Aprire un prompt dei comandi ed eseguire
oci api-gateway certificate create
per creare la risorsa certificato del gateway API:oci api-gateway certificate create --display-name "<certificate-name>" --compartment-id <compartment-ocid> --certificate-file <certificate-file-path> --intermediate-certificates-file <intermediate-certificates-file-path> --private-key-file <private-key-file-path>
dove:
<certificate-name>
è il nome della nuova risorsa certificato del gateway API. Evitare di inserire informazioni riservate.<compartment-ocid>
è l'OCID del compartimento a cui apparterrà la nuova risorsa certificato del gateway API.-
<certificate-file-path>
è il percorso e il nome del file contenente il certificato foglia restituito dall'autorità di certificazione. Ad esempio,~/.certs/cert.pem
. Si noti che il certificato foglia nel file specificato:- deve essere in formato X.509 con codifica PEM
- deve iniziare con
-----BEGIN CERTIFICATE-----
- deve terminare con
-----END CERTIFICATE-----
- non deve superare i 4096 bit di lunghezza
-
<intermediate-certificates-file-path>
è facoltativamente il percorso e il nome di un file contenente uno o più certificati intermedi che formano una catena di certificati dal certificato foglia all'autorità di certificazione. Ad esempio,~/.certs/int_cert.pem
. Se il file contiene più certificati intermedi, i certificati intermedi devono essere nell'ordine corretto. L'ordine corretto termina con il certificato firmato direttamente dall'autorità di certificazione radice attendibile, con qualsiasi certificato aggiuntivo che precede direttamente l'autorità di certificazione che lo ha firmato. Ad esempio:-----BEGIN CERTIFICATE-----<PEM_encoded_certificate>-----END CERTIFICATE----------BEGIN CERTIFICATE-----<PEM_encoded_certificate>-----END CERTIFICATE----------BEGIN CERTIFICATE-----<PEM_encoded_certificate>-----END CERTIFICATE----------BEGIN CERTIFICATE-----<PEM_encoded_certificate>-----END CERTIFICATE-----
La lunghezza combinata dei certificati intermedi specificata non deve superare 10240 bit.
-
<private-key-file-path>
è il percorso e il nome del file contenente la chiave privata utilizzata per ottenere il certificato TLS dall'autorità di certificazione. Ad esempio,~/.certs/key.pem
. La chiave privata del file specificato è la seguente:- deve essere una chiave RSA
- deve essere in formato X.509 con codifica PEM
- deve iniziare con
-----BEGIN RSA PRIVATE KEY-----
- deve terminare con
-----END RSA PRIVATE KEY-----
- non deve essere protetta da una passphrase
- deve avere una lunghezza minima di 2048 bit e non deve superare i 4096 bit
Ad esempio:
oci api-gateway certificate create --display-name "Acme gateway certificate" --compartment-id ocid1.compartment.oc1..aaaaaaaa7______ysq --certificate-file ~/.certs/cert.pem --private-key-file ~/.certs/key.pem
La risposta al comando include quanto riportato di seguito.
- OCID della nuova risorsa certificato del gateway API.
- Stato del ciclo di vita (ad esempio, ACTIVE, FAILED).
- ID della richiesta di lavoro per creare la risorsa certificato del gateway API (i dettagli delle richieste di lavoro sono disponibili per sette giorni dopo il completamento, l'annullamento o l'errore).
Se si desidera che il comando attenda la restituzione del controllo fino a quando la risorsa certificato del gateway API non è attiva (o la richiesta non è riuscita), includere uno o entrambi i parametri riportati di seguito.
--wait-for-state ACTIVE
--wait-for-state FAILED
Ad esempio:
oci api-gateway certificate create --display-name "Acme gateway certificate" --compartment-id ocid1.compartment.oc1..aaaaaaaa7______ysq --certificate-file ~/.certs/cert.pem --private-key-file ~/.certs/key.pem --wait-for-state ACTIVE
Per ulteriori informazioni sull'uso dell'interfaccia CLI, vedere Command Line Interface (CLI, interfaccia a riga di comando). Per un elenco completo dei flag e delle opzioni disponibili per i comandi della CLI, vedere la Guida della CLI.
Per specificare la risorsa del certificato del gateway API durante la creazione di un gateway API:
- Seguire le istruzioni riportate in Creazione di un gateway API per creare un gateway API utilizzando la console o l'interfaccia CLI.
-
Specificare la risorsa certificato del gateway API come descritto nelle istruzioni.
- Se si utilizza la console, utilizzare il campo Certificato.
- Se si utilizza l'interfaccia CLI: impostare la proprietà
--certificate-id <certificate-ocid>
.
Il servizio Gateway API crea il nuovo gateway API e installa il certificato TLS e la chiave privata personalizzati.
- Ottenere l'indirizzo IP pubblico del gateway API.
I passi precisi per registrare il mapping tra il nome di dominio personalizzato di un gateway API e il relativo indirizzo IP pubblico dipendono dal provider DNS che si sceglie di utilizzare. In genere, si creerà un nuovo record (in particolare un nuovo record A) nella configurazione del provider DNS. Il record associa il nome di dominio configurato durante la richiesta del certificato TLS dall'autorità di certificazione scelta all'indirizzo IP pubblico assegnato dal servizio Gateway API al nuovo gateway API. Per informazioni più dettagliate, fare riferimento alla documentazione del provider DNS scelto.
Utilizzo di una risorsa certificato servizio certificati per impostare un nome di dominio personalizzato per un gateway API
Per utilizzare una risorsa certificato del servizio Certificati per impostare un nome di dominio personalizzato per un gateway API, effettuare le operazioni riportate di seguito.
È possibile utilizzare il servizio Certificati in diversi modi per creare una risorsa certificato durante l'impostazione di un nome di dominio personalizzato per un gateway API:
- È possibile utilizzare il servizio Certificati per emettere un certificato TLS che si prevede di gestire internamente con il servizio Certificati. Per ulteriori informazioni sulla creazione di una risorsa certificato del servizio Certificati in questo modo, vedere Creazione di un certificato.
- È possibile utilizzare il servizio Certificati per importare un certificato TLS emesso da un'autorità di certificazione di terze parti, che si prevede di gestire internamente con il servizio Certificati. Per ulteriori informazioni sulla creazione di una risorsa certificato del servizio Certificati in questo modo, vedere Importazione di un certificato.
Tenere presente che, sebbene sia possibile utilizzare il servizio Certificati per emettere un certificato TLS che si prevede di gestire esternamente con un'autorità di certificazione di terze parti, non è possibile utilizzare tale certificato TLS gestito esternamente quando si imposta un nome di dominio personalizzato per un gateway API.
Tenere presente quanto segue.
- Il certificato TLS:
- deve essere in formato X.509 con codifica PEM
- deve iniziare con
-----BEGIN CERTIFICATE-----
- deve terminare con
-----END CERTIFICATE-----
- non deve superare i 4096 bit di lunghezza
- Il certificato TLS deve essere stato creato utilizzando uno dei tipi di profilo certificato supportati, come indicato di seguito.
- Tipi di profilo certificato supportati: TLS Server or Client; TLS server.
- Tipi di profilo certificato non supportati: TLS Client; TLS Code Sign.
- La chiave privata utilizzata per ottenere il certificato TLS:
- deve essere una chiave RSA
- deve essere in formato X.509 con codifica PEM
- deve iniziare con
-----BEGIN RSA PRIVATE KEY-----
- deve terminare con
-----END RSA PRIVATE KEY-----
- non deve essere protetta da una passphrase
- deve avere una lunghezza minima di 2048 bit e non deve superare i 4096 bit
Per specificare la risorsa del certificato del servizio Certificati durante la creazione di un gateway API:
- Seguire le istruzioni riportate in Creazione di un gateway API per creare un gateway API utilizzando la console o l'interfaccia CLI.
-
Specificare la risorsa del certificato del servizio Certificati come descritto nelle istruzioni.
- Se si utilizza la console, utilizzare il campo Certificato.
- Se si utilizza l'interfaccia CLI: impostare la proprietà
--certificate-id <certificate-ocid>
.
Il servizio Gateway API crea il nuovo gateway API e installa il certificato TLS e la chiave privata personalizzati.
- Ottenere l'indirizzo IP pubblico del gateway API.
I passi precisi per registrare il mapping tra il nome di dominio personalizzato di un gateway API e il relativo indirizzo IP pubblico dipendono dal provider DNS che si sceglie di utilizzare. In genere, si creerà un nuovo record (in particolare un nuovo record A) nella configurazione del provider DNS. Il record associa il nome di dominio configurato durante la richiesta del certificato TLS dall'autorità di certificazione scelta all'indirizzo IP pubblico assegnato dal servizio Gateway API al nuovo gateway API. Per informazioni più dettagliate, fare riferimento alla documentazione del provider DNS scelto.
Rinnovo dei certificati TLS personalizzati utilizzati dai gateway API
I certificati TLS sono validi per un periodo di tempo limitato (in genere uno o due anni) prima della loro scadenza. Se il certificato TLS utilizzato da un gateway API scade, le chiamate a un'API distribuita nel gateway API potrebbero essere contrassegnate come non sicure dal client API (ad esempio, da un browser o dallo strumento della riga di comando curl) e bloccate. Per evitare chiamate bloccate, è necessario rinnovare i certificati TLS prima della loro scadenza (a volte indicati come certificati di rotazione).
Se il servizio API Gateway ha ottenuto automaticamente il certificato TLS originale, il servizio API Gateway rinnova automaticamente il certificato TLS con l'autorità di certificazione designata da Oracle prima della scadenza. Tuttavia, se hai ottenuto un certificato TLS personalizzato, sei responsabile del rinnovo del certificato TLS personalizzato con l'autorità di certificazione scelta prima della scadenza. Quando si richiede il rinnovo di un certificato TLS, l'autorità di certificazione restituisce un certificato TLS completamente nuovo.
La procedura per il rinnovo di un certificato TLS personalizzato utilizzato dai gateway API dipende dal fatto che siano state create risorse del certificato del gateway API o risorse del certificato del servizio Certificati.
Rinnovo dei certificati TLS personalizzati per le risorse dei certificati gateway API
Quando hai creato una risorsa certificato gateway API utilizzata da un gateway API, non puoi semplicemente aggiornare la risorsa certificato gateway API esistente con il nuovo certificato TLS. In alternativa, è possibile creare una nuova risorsa di certificato API Gateway, aggiungere il nuovo certificato TLS alla nuova risorsa di certificato, quindi aggiornare i gateway API che hanno utilizzato la risorsa di certificato precedente per utilizzare la nuova risorsa di certificato.
Per rinnovare il certificato TLS personalizzato utilizzato da un gateway API:
-
Inviare una richiesta di rinnovo del certificato TLS all'autorità di certificazione da cui è stato originariamente ottenuto il certificato TLS. La procedura esatta per il rinnovo di un certificato TLS dipende dall'autorità di certificazione utilizzata, pertanto per informazioni più dettagliate fare sempre riferimento alla documentazione dell'autorità di certificazione.
Quando si crea la richiesta di rinnovo del certificato, viene aggiunta una chiave pubblica alla richiesta e viene generata e memorizzata in un file locale anche una chiave privata corrispondente. Questa chiave privata verrà utilizzata quando si imposta la nuova risorsa di certificato del gateway API, quindi prenderne nota della posizione.
L'autorità di certificazione restituisce un file contenente il nuovo certificato TLS personalizzato e in genere uno o più file contenenti certificati intermedi che formano una catena di certificati dal certificato TLS all'autorità di certificazione.
- Creare una nuova risorsa di certificato del gateway API e aggiungervi il nuovo certificato TLS, eventuali certificati intermedi e la nuova chiave privata (vedere Passo 2: creare una risorsa di certificato del gateway API).
- Aggiornare tutti i gateway API esistenti che hanno utilizzato la risorsa di certificato gateway API originale per utilizzare la nuova risorsa di certificato del gateway API (vedere Aggiornamento di un gateway API).
- Se non sono ancora presenti gateway API che utilizzano la risorsa di certificato API Gateway originale, eliminare la risorsa di certificato originale:
- Se si utilizza la console: nella pagina Certificati selezionare il menu accanto alla risorsa di certificato gateway API originale che si desidera eliminare, quindi selezionare Elimina.
- Se si utilizza l'interfaccia CLI, utilizzare il comando riportato di seguito per eliminare la risorsa certificato gateway API originale.
oci api-gateway certificate delete --certificate-id <certificate-ocid>
Tenere presente che non è possibile eliminare una risorsa certificato del gateway API se sono ancora presenti gateway API che la utilizzano.
Rinnovo dei certificati TLS personalizzati per le risorse dei certificati di servizio certificati
Dopo aver creato una risorsa certificato del servizio Certificati utilizzata da un gateway API, è possibile utilizzare il servizio Certificati per rinnovare il certificato TLS creando una nuova versione del certificato. La nuova versione del certificato ha lo stesso OCID del certificato originale, pertanto non è necessario modificare i gateway API per utilizzare una nuova risorsa di certificato. Il servizio Gateway API aggiorna automaticamente i gateway API in modo che utilizzino la nuova versione. Si noti che esistono alcune restrizioni sui certificati che il servizio Certificati può rinnovare. Vedere Rinnovamento di un certificato.
Utilizzo dell'API
Per informazioni sull'uso dell'API e delle richieste di firma, consulta la documentazione dell'API REST e le credenziali di sicurezza. Per informazioni sugli SDK, vedere SDK e l'interfaccia CLI.
Utilizzare:
- Operazione CreateCertificate per creare una nuova risorsa di certificato del gateway API.
- Operazione DeleteCertificate per eliminare una risorsa di certificato del gateway API esistente.
- Operazione UpdateCertificate per modificare i dettagli di una risorsa di certificato del gateway API esistente.
- Operazione GetCertificate per visualizzare i dettagli di una risorsa di certificato del gateway API esistente.
- Operazione ListCertificates per elencare tutti i certificati in un compartimento.
- Operazione ChangeCertificateCompartment per modificare il compartimento a cui appartiene una risorsa certificato del gateway API esistente.