Documentação do Oracle Cloud Infrastructure

Configurando Domínios Personalizados e Certificados TLS

Descubra como configurar domínios personalizados e certificados TLS com o API Gateway.

Os gateway de API criados com o serviço API Gateway são habilitados para TLS e, portanto, precisam de certificados TLS (antigos certificados SSL) emitidos por uma Autoridade de Certificação para protegê-los. Você pode direcionar o serviço API Gateway para obter um certificado TLS padrão para você (se sua tenancy existir no realm OC1) ou você mesmo pode obter um certificado TLS personalizado de uma Autoridade de Certificação. Para especificar um nome de domínio personalizado específico para um gateway de API, obtenha um certificado TLS personalizado, em vez de fazer com que o serviço de Gateway de API obtenha um certificado TLS padrão.

Ao criar um gateway de API, especifique que o gateway de API use um dos seguintes elementos:

  • Um certificado TLS padrão que o serviço Gateway de API obtém para você (somente realm OC1). Nesse caso, o serviço API Gateway solicita um certificado TLS de uma Autoridade de Certificação designada pela Oracle.
  • Um certificado TLS personalizado que você mesmo obtém da Autoridade de Certificação escolhida. Sua solicitação à Autoridade de Certificação inclui o nome de domínio personalizado. A Autoridade de Certificação retorna um arquivo contendo o certificado TLS personalizado e, geralmente, um ou mais arquivos contendo certificados intermediários formando uma cadeia de certificados do certificado TLS de volta para a Autoridade de Certificação.

É possível obter um certificado TLS personalizado de várias maneiras:

  • Você pode obter um certificado TLS personalizado de uma Autoridade de Certificação de terceiros e, em seguida, criar um recurso de certificado do Gateway de API que compreende o certificado TLS personalizado, quaisquer certificados intermediários e a chave privada usada para gerar o certificado TLS. Em seguida, você pode selecionar esse recurso de certificado do serviço API Gateway ao criar um novo gateway de API.
  • Você pode obter um certificado TLS personalizado usando o serviço Certificates para criar um recurso de certificado. O serviço Certificates pode emitir um certificado diretamente ou você pode importar um certificado emitido por uma Autoridade de Certificação de terceiros para o serviço Certificates. Em seguida, você pode selecionar esse recurso de certificado do serviço Certificates ao criar um novo gateway de API.

A forma como o certificado TLS é obtido determina quanto controle você tem sobre o nome de domínio do gateway de API:

  • Se o serviço API Gateway obtiver um certificado TLS padrão para você (somente para o realm OC1), o serviço API Gateway dará ao gateway de API um nome de domínio padrão gerado automaticamente. O nome de domínio padrão gerado automaticamente compreende uma string aleatória de caracteres seguida por .apigateway.<region-identifier>.oci.customer-oci.com. Por exemplo, laksjd.apigateway.us-phoenix-1.oci.customer-oci.com .
  • Se você mesmo obtiver um certificado TLS personalizado, o serviço API Gateway fornecerá ao gateway de API o nome de domínio personalizado especificado na sua solicitação à Autoridade de Certificação.

A forma como o certificado TLS é obtido também determina a responsabilidade pelo registro do mapeamento entre o nome de domínio do gateway de API e seu endereço IP público com um provedor DNS:

  • Se o serviço de Gateway de API obtiver um certificado TLS padrão para você (somente OC1), o serviço de Gateway de API assumirá a responsabilidade de registrar o mapeamento entre o nome de domínio padrão gerado automaticamente pelo gateway de API e seu endereço IP público com o serviço Oracle Cloud Infrastructure DNS.
  • Se você mesmo obtiver um certificado TLS personalizado, será responsável por registrar o mapeamento entre o nome de domínio personalizado do gateway de API e seu endereço IP público com o provedor DNS escolhido como um registro A.

Do mesmo modo, o tratamento da validade e renovação do certificado TLS é determinado pela forma como o certificado TLS é originalmente obtido:

  • Se o serviço Gateway de API obtiver um certificado TLS padrão para você (somente OC1), o serviço Gateway de API renovará automaticamente o certificado TLS com a Autoridade de Certificação designada pela Oracle antes que ele expire.
  • Se você mesmo obter um certificado TLS personalizado, será responsável por renovar o certificado TLS com a Autoridade de Certificação escolhida antes de ele expirar. Consulte Renovando certificados TLS personalizados usados por gateways de API.

Para alguns clientes, o uso de domínios personalizados e certificados TLS personalizados é obrigatório. Por exemplo, se estiver usando o Cloud do Setor Governamental do Oracle Cloud Infrastructure, você deverá:

  • obter apenas um certificado TLS de uma determinada Autoridade de Certificação aprovada
  • usar somente um provedor DNS específico e aprovado

Para outros clientes, o uso de domínios personalizados provavelmente será impulsionado por requisitos comerciais. Por exemplo, normalmente você deseja incluir o nome da sua empresa no nome de domínio do gateway de API, em vez de usar a string aleatória de caracteres gerada automaticamente seguida de .apigateway.<region-identifier>.oci.customer-oci.com.

Observe o seguinte:

  • Você não pode excluir um recurso de certificado do Gateway de API ou um recurso de certificado do serviço Certificates que esteja sendo usado no momento por um gateway de API. Para excluir o recurso de certificado, primeiro você deve removê-lo de qualquer gateway de API que o esteja usando.
  • Você só pode especificar um recurso de certificado do Gateway de API ou um recurso de certificado do serviço Certificates para um gateway de API.
  • Não é possível atualizar um recurso de certificado do serviço API Gateway depois de criá-lo. No entanto, você pode atualizar um recurso de certificado do serviço Certificates.
  • Você só poderá direcionar o serviço API Gateway para obter certificados TLS padrão para você se sua tenancy existir no realm OC1.
Importante

Para sistemas públicos ou de produção, a Oracle recomenda o uso de certificados TLS personalizados. A Oracle recomenda usar apenas certificados TLS padrão obtidos pelo serviço API Gateway para sistemas privados ou não de produção (por exemplo, para desenvolvimento e teste.

Obtendo um Certificado TLS Personalizado para Configurar um Nome de Domínio Personalizado para um Gateway de API

Você pode configurar um nome de domínio personalizado e um certificado TLS personalizado de várias maneiras:

Usando um Recurso de Certificado do Serviço API Gateway para Configurar um Nome de Domínio Personalizado para um Serviço API Gateway

Para usar um recurso de certificado do serviço API Gateway a fim de configurar um nome de domínio personalizado para um gateway de API:

Etapa 1: Obter um Certificado TLS da Autoridade de Certificação escolhida

As etapas precisas para obter um certificado TLS serão diferentes, de acordo com a Autoridade de Certificação que você optar por usar. Em um nível alto, as etapas provavelmente serão um pouco semelhantes às seguintes, mas sempre consulte a documentação da Autoridade de Certificação para obter informações mais detalhadas:

  1. Crie uma solicitação de assinatura de certificado para a Autoridade de Certificação escolhida.

    Geralmente, você incluirá informações como o nome da organização, a localidade e o país na solicitação de assinatura do certificado.

    Você também incluirá um nome comum na solicitação de assinatura de certificado como o nome de domínio totalmente qualificado do site que deseja proteger. O nome comum geralmente conecta o certificado TLS a um domínio específico. Este nome de domínio é usado como o nome de domínio personalizado para gateways de API.

    Quando você cria uma solicitação de assinatura de certificado, uma chave pública é adicionada à solicitação e uma chave privada correspondente também é gerada e armazenada em um arquivo local. Você usará essa chave privada ao configurar um recurso de certificado do serviço API Gateway; portanto, anote sua localização. A chave privada que você usa para obter um certificado TLS:

    • deve ser uma chave RSA
    • deve estar no formato X.509 codificado em PEM
    • deve começar com -----BEGIN RSA PRIVATE KEY-----
    • deve terminar com -----END RSA PRIVATE KEY-----
    • não deve ser protegido por uma frase-senha
    • deve ter um tamanho mínimo de 2.048 bits e não deve exceder 4.096 bits

  2. Envie a solicitação de assinatura do certificado para a Autoridade de Certificação.

    A Autoridade de Certificação retorna:

    • um arquivo contendo o certificado TLS personalizado para o próprio gateway de API (conhecido como "certificado folha" ou "certificado de entidade final")
    • normalmente um ou mais arquivos contendo certificados intermediários que formam uma cadeia de certificados do certificado folha de volta para a Autoridade de Certificação

Agora você pode usar esses arquivos de certificado para criar um recurso de certificado do serviço API Gateway.

Etapa 2: Criar um recurso de certificado do API Gateway

Um recurso de certificado do serviço API Gateway é uma definição nomeada de um certificado TLS que você pode usar ao criar ou atualizar um gateway de API usando o serviço API Gateway.

Um recurso de certificado do serviço API Gateway compreende:

  • um nome de sua escolha para o próprio recurso de certificado
  • o certificado TLS personalizado para o gateway de API (o "certificado folha" ou "certificado de entidade final") retornado pela Autoridade de Certificação
  • quaisquer certificados intermediários que formem uma cadeia de certificados do certificado folha de volta para a Autoridade de Certificação
  • a chave privada combinada com a chave pública que foi incluída na solicitação de assinatura do certificado original

Observe que você não pode atualizar um recurso de certificado do serviço API Gateway depois de criá-lo.

Você pode criar um recurso de certificado do serviço API Gateway usando a Console ou a CLI.

Usando a Console

Para criar um recurso de certificado do serviço API Gateway usando a Console:

  1. Na página da lista Certificados, selecione Criar Certificado. Se precisar de ajuda para localizar a página da lista, consulte Listando Recursos de Certificado do Serviço API Gateway.

  2. Especifique os seguintes valores para o recurso de certificado do Gateway de API:

    • Nome: O nome do novo recurso de certificado do serviço API Gateway. Evite digitar informações confidenciais.
    • Certificado: O certificado TLS personalizado retornado pela Autoridade de Certificação (o "certificado folha" ou "certificado de entidade final"). Arraste e solte, selecione ou cole um certificado TLS válido. Observe que o certificado TLS especificado:
      • deve estar no formato X.509 codificado em PEM
      • deve começar com -----BEGIN CERTIFICATE-----
      • deve terminar com -----END CERTIFICATE-----
      • não pode exceder o tamanho de 4.096 bits

    • Certificados Intermediários: (Opcional) Se houver um ou mais certificados intermediários formando uma cadeia de certificados do certificado TLS de volta para a Autoridade de Certificação, inclua o conteúdo dos arquivos de certificados intermediários na ordem correta. A ordem correta começa com o certificado assinado diretamente pela Autoridade Certificadora Raiz Confiável na parte inferior, com qualquer certificado adicional diretamente acima da Autoridade Certificadora que o assinou. Por exemplo:

      -----BEGIN CERTIFICATE-----
<PEM_encoded_certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<PEM_encoded_certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<PEM_encoded_certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<PEM_encoded_certificate>
-----END CERTIFICATE-----

      Se você concatenou o conteúdo de arquivos de certificados intermediários em um único arquivo de cadeia de certificados na ordem correta, arraste e solte esse arquivo ou selecione esse arquivo ou cole o conteúdo desse arquivo.

      Se você não tiver um arquivo de cadeia de certificados concatenado, cole o conteúdo dos arquivos de certificados individuais, na ordem correta.

      O tamanho combinado de qualquer certificado intermediário especificado não deve exceder 10.240 bits.

    • Chave Privada: A chave privada usada para obter o certificado TLS da Autoridade de Certificação. Arraste e solte, selecione ou cole uma chave privada válida neste campo. Observe que a chave que você especificar:
      • deve ser uma chave RSA
      • deve estar no formato X.509 codificado em PEM
      • deve começar com -----BEGIN RSA PRIVATE KEY-----
      • deve terminar com -----END RSA PRIVATE KEY-----
      • não deve ser protegido por uma frase-senha
      • deve ter um tamanho mínimo de 2.048 bits e não deve exceder 4.096 bits
  3. Selecione Criar para criar o recurso de certificado do serviço API Gateway.

Usando a CLI

Para criar um recurso de certificado do serviço API Gateway usando a CLI:

  1. Configure seu ambiente de cliente para usar a CLI ( Configurando Seu Ambiente de Cliente para usar a CLI para o Desenvolvimento de Gateway de API).

  2. Abra um prompt de comando e execute oci api-gateway certificate create para criar o recurso de certificado do serviço API Gateway:

    oci api-gateway certificate create --display-name "<certificate-name>" --compartment-id <compartment-ocid> --certificate-file <certificate-file-path> --intermediate-certificates-file <intermediate-certificates-file-path> --private-key-file <private-key-file-path>

    em que:

    • <certificate-name> é o nome do novo recurso de certificado do serviço API Gateway. Evite digitar informações confidenciais.
    • <compartment-ocid> é o OCID do compartimento ao qual pertencerá o novo recurso de certificado do serviço API Gateway.

    • <certificate-file-path> é o caminho e o nome do arquivo que contém o certificado folha retornado pela Autoridade de Certificação. Por exemplo, ~/.certs/cert.pem. Observe que o certificado folha no arquivo especificado:

      • deve estar no formato X.509 codificado em PEM
      • deve começar com -----BEGIN CERTIFICATE-----
      • deve terminar com -----END CERTIFICATE-----
      • não pode exceder o tamanho de 4.096 bits

    • <intermediate-certificates-file-path> é opcionalmente o caminho e o nome de um arquivo que contém um ou mais certificados intermediários que formam uma cadeia de certificados do certificado folha de volta para a Autoridade de Certificação. Por exemplo, ~/.certs/int_cert.pem. Se o arquivo contiver vários certificados intermediários, os certificados intermediários deverão estar na ordem correta. A ordem correta termina com o certificado assinado diretamente pela Autoridade Certificadora Raiz Confiável, com qualquer certificado adicional diretamente anterior à Autoridade Certificadora que o assinou. Por exemplo: 

      -----BEGIN CERTIFICATE-----<PEM_encoded_certificate>-----END CERTIFICATE----------BEGIN CERTIFICATE-----<PEM_encoded_certificate>-----END CERTIFICATE----------BEGIN CERTIFICATE-----<PEM_encoded_certificate>-----END CERTIFICATE----------BEGIN CERTIFICATE-----<PEM_encoded_certificate>-----END CERTIFICATE-----

      O tamanho combinado de qualquer certificado intermediário especificado não deve exceder 10.240 bits.

    • <private-key-file-path> é o caminho e o nome do arquivo que contém a chave privada usada para obter o certificado TLS da Autoridade de Certificação. Por exemplo, ~/.certs/key.pem. Observe que a chave privada no arquivo especificado:

      • deve ser uma chave RSA
      • deve estar no formato X.509 codificado em PEM
      • deve começar com -----BEGIN RSA PRIVATE KEY-----
      • deve terminar com -----END RSA PRIVATE KEY-----
      • não deve ser protegido por uma frase-senha
      • deve ter um tamanho mínimo de 2.048 bits e não deve exceder 4.096 bits

    Por exemplo:

    oci api-gateway certificate create --display-name "Acme gateway certificate" --compartment-id ocid1.compartment.oc1..aaaaaaaa7______ysq --certificate-file ~/.certs/cert.pem --private-key-file ~/.certs/key.pem

    A resposta ao comando inclui:

    • O OCID do novo recurso de certificado do serviço API Gateway.
    • O estado do ciclo de vida (por exemplo, ACTIVE, FAILED).
    • O id da solicitação de serviço para criar o recurso de certificado do serviço API Gateway (detalhes das solicitações de serviço ficam disponíveis por sete dias após a conclusão, o cancelamento ou a falha).

    Se você quiser que o comando aguarde o retorno de controle até que o recurso de certificado do serviço API Gateway esteja ativo (ou a solicitação tenha falhado), inclua um ou ambos os seguintes parâmetros:

    • --wait-for-state ACTIVE
    • --wait-for-state FAILED

    Por exemplo:

    oci api-gateway certificate create --display-name "Acme gateway certificate" --compartment-id ocid1.compartment.oc1..aaaaaaaa7______ysq --certificate-file ~/.certs/cert.pem --private-key-file ~/.certs/key.pem --wait-for-state ACTIVE

Para obter mais informações sobre o uso da CLI, consulte Interface de Linha de Comando (CLI). Para obter uma lista completa de flags e opções disponíveis para comandos da CLI, consulte a Ajuda da CLI.

Etapa 3: Especificar o recurso de certificado do serviço API Gateway ao criar um gateway de API

Para especificar o recurso de certificado do serviço API Gateway ao criar um gateway de API:

  1. Siga as instruções em Criando um Gateway de API para criar um gateway de API usando a Console ou a CLI.

  2. Especifique o recurso de certificado do serviço API Gateway conforme descrito nas instruções:

    • Se estiver usando a Console: Use o campo Certificado.
    • Se estiver usando a CLI: Defina a propriedade --certificate-id <certificate-ocid>.

    O serviço API Gateway cria o novo gateway de API e instala o certificado TLS personalizado e a chave privada.

  3. Obtenha o endereço IP público do gateway de API.
Etapa 4: Registrar o mapeamento entre o nome de domínio personalizado do Serviço API Gateway e o endereço IP público com o provedor DNS escolhido

As etapas precisas para registrar o mapeamento entre o nome de domínio personalizado de um gateway de API e seu endereço IP público dependem do provedor DNS que você escolher usar. Geralmente, você criará um novo registro (especificamente um novo registro A) na configuração do provedor do DNS. O registro associa o nome de domínio configurado ao solicitar o certificado TLS da Autoridade de Certificação escolhida ao endereço IP público que o serviço API Gateway designa ao novo gateway de API. Consulte a documentação do provedor DNS escolhido para obter informações mais detalhadas.

Usando um Recurso de Certificado de Serviço de Certificados para Configurar um Nome de Domínio Personalizado para um Gateway de API

Para usar um recurso de certificado do serviço Certificates para configurar um nome de domínio personalizado para um gateway de API:

Etapa 1: Criar um recurso de certificado do Serviço Certificates

Você pode usar o serviço Certificates de várias maneiras para criar um recurso de certificado ao configurar um nome de domínio personalizado para um gateway de API:

  • Você pode usar o serviço Certificates para emitir um certificado TLS que planeja gerenciar internamente com o serviço Certificates. Para obter mais informações sobre como criar um recurso de certificado do serviço Certificates dessa forma, consulte Criando um Certificado.
  • Você pode usar o serviço Certificates para importar um certificado TLS emitido por uma Autoridade de Certificação de terceiros que planeja gerenciar internamente com o serviço Certificates. Para obter mais informações sobre como criar um recurso de certificado do serviço Certificates dessa forma, consulte Importando um Certificado.

Observe que, embora você possa usar o serviço Certificates para emitir um certificado TLS que planeja gerenciar externamente com uma Autoridade de Certificação de terceiros, não é possível usar esse certificado TLS gerenciado externamente ao configurar um nome de domínio personalizado para um gateway de API.

Observe também o seguinte:

  • O certificado TLS:
    • deve estar no formato X.509 codificado em PEM
    • deve começar com -----BEGIN CERTIFICATE-----
    • deve terminar com -----END CERTIFICATE-----
    • não pode exceder o tamanho de 4.096 bits
  • O certificado TLS deve ter sido criado usando um dos tipos de perfil de certificado suportados, da seguinte forma:
    • Tipos de perfil de certificado suportados: Servidor ou Cliente TLS; Servidor TLS.
    • Tipos de perfil de certificado não suportados: Cliente TLS; Sinal de Código TLS.
  • A chave privada usada para obter o certificado TLS:
    • deve ser uma chave RSA
    • deve estar no formato X.509 codificado em PEM
    • deve começar com -----BEGIN RSA PRIVATE KEY-----
    • deve terminar com -----END RSA PRIVATE KEY-----
    • não deve ser protegido por uma frase-senha
    • deve ter um tamanho mínimo de 2.048 bits e não deve exceder 4.096 bits
Etapa 2: Especificar o recurso de certificado do Serviço Certificates ao criar um gateway de API

Para especificar o recurso de certificado do serviço Certificates ao criar um gateway de API:

  1. Siga as instruções em Criando um Gateway de API para criar um gateway de API usando a Console ou a CLI.

  2. Especifique o recurso de certificado de serviço Certificates conforme descrito nas instruções:

    • Se estiver usando a Console: Use o campo Certificado.
    • Se estiver usando a CLI: Defina a propriedade --certificate-id <certificate-ocid>.

    O serviço API Gateway cria o novo gateway de API e instala o certificado TLS personalizado e a chave privada.

  3. Obtenha o endereço IP público do gateway de API.
Etapa 3: Registrar o Mapeamento entre o Nome de Domínio Personalizado do Serviço API Gateway e o Endereço IP Público com o Provedor DNS Escolhido

As etapas precisas para registrar o mapeamento entre o nome de domínio personalizado de um gateway de API e seu endereço IP público dependem do provedor DNS que você escolher usar. Geralmente, você criará um novo registro (especificamente um novo registro A) na configuração do provedor do DNS. O registro associa o nome de domínio configurado ao solicitar o certificado TLS da Autoridade de Certificação escolhida ao endereço IP público que o serviço API Gateway designa ao novo gateway de API. Consulte a documentação do provedor DNS escolhido para obter informações mais detalhadas.

Renovando Certificados TLS Personalizados Usados por Gateways de API

Os certificados TLS são válidos por um período limitado (geralmente um ou dois anos) antes de expirarem. Se o certificado TLS usado por um gateway de API expirar, as chamadas para uma API implantada no gateway de API poderão ser marcadas como não seguras pelo cliente de API (por exemplo, por um navegador ou pela ferramenta de linha de comando curl) e bloqueadas. Para evitar chamadas bloqueadas, você precisa renovar os certificados TLS antes que eles expirem (às vezes chamados de certificados 'rotativos).

Se o serviço API Gateway tiver obtido o certificado TLS original para você, o API Gateway renovará automaticamente o certificado TLS com a Autoridade de Certificação designada pela Oracle antes que ele expire. No entanto, se você mesmo tiver obtido um certificado TLS personalizado, será responsável por renovar o certificado TLS personalizado com a Autoridade de Certificação escolhida antes de ele expirar. Quando você solicita a renovação de um certificado TLS, a Autoridade de Certificação retorna um certificado TLS completamente novo.

O procedimento para renovar um certificado TLS personalizado usado por gateways de API depende de você ter criado recursos de certificado do Gateway de API ou recursos de certificado do serviço Certificates.

Renovando certificados TLS personalizados para recursos de certificado do Gateway de API

Quando você criou um recurso de certificado do Gateway de API usado por um gateway de API, não pode simplesmente atualizar o recurso de certificado do Gateway de API existente com o novo certificado TLS. Em vez disso, você cria um novo recurso de certificado do serviço API Gateway, adiciona o novo certificado TLS ao novo recurso de certificado e atualiza os gateways de API que usaram o recurso de certificado anterior para usar o novo recurso de certificado.

Para renovar o certificado TLS personalizado usado por um gateway de API:

  1. Envie uma solicitação de renovação de certificado TLS à Autoridade de Certificação da qual você obteve originalmente o certificado TLS. As etapas exatas para renovar um certificado TLS dependem da Autoridade de Certificação que você usa; portanto, sempre consulte a documentação da Autoridade de Certificação para obter informações mais detalhadas.

    Quando você cria a solicitação de renovação de certificado, uma chave pública é adicionada à solicitação e uma chave privada correspondente também é gerada e armazenada em um arquivo local. Você usará essa chave privada ao configurar o novo recurso de certificado do serviço API Gateway; portanto, anote sua localização.

    A Autoridade de Certificação retorna um arquivo contendo o novo certificado TLS personalizado e, geralmente, um ou mais arquivos contendo certificados intermediários formando uma cadeia de certificados do certificado TLS de volta para a Autoridade de Certificação.

  2. Crie um novo recurso de certificado do serviço API Gateway e adicione a ele o novo certificado TLS, quaisquer certificados intermediários e a nova chave privada (consulte a Fase 2: Criar um recurso de certificado do serviço API Gateway).
  3. Atualize todos os gateways de API existentes que usaram o recurso de certificado do Gateway de API original para usar o novo recurso de certificado do Gateway de API (consulte Atualizando um Gateway de API).
  4. Quando ainda não houver gateways de API usando o recurso de certificado do serviço API Gateway original, exclua o recurso de certificado original:
    • Se estiver usando a Console: Na página Certificados, selecione o menu Ações (três pontos) ao lado do recurso de certificado original do Gateway de API que você deseja excluir e selecione Excluir.
    • Se estiver usando a CLI: Use o seguinte comando para excluir o recurso de certificado do serviço API Gateway original:
      oci api-gateway certificate delete --certificate-id <certificate-ocid>

    Observe que você não pode excluir um recurso de certificado do serviço API Gateway se ainda houver gateways de API que o estejam usando.

Renovando certificados TLS personalizados para recursos de certificado do serviço Certificates

Quando tiver criado um recurso de certificado do serviço Certificates usado por um gateway de API, você poderá usar o serviço Certificates para renovar o certificado TLS criando uma nova versão do certificado. A nova versão do certificado tem o mesmo OCID do certificado original, portanto, você não precisa modificar gateways de API para usar um novo recurso de certificado. O serviço API Gateway atualiza automaticamente os gateways de API para usar a nova versão. Observe que há algumas restrições nos certificados que o serviço Certificates pode renovar. Consulte Renovando um Certificado.

Usando a API

Para obter informações sobre como usar a API e assinar solicitações, consulte a documentação da API REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte SDKs e a CLI.

Utilize:

  • Operação CreateCertificate para criar um novo recurso de certificado do serviço API Gateway.
  • Operação DeleteCertificate para excluir um recurso de certificado do serviço API Gateway existente.
  • Operação UpdateCertificate para alterar os detalhes de um recurso de certificado do serviço API Gateway existente.
  • Operação GetCertificate para ver detalhes de um recurso de certificado do serviço API Gateway existente.
  • Operação ListCertificates para listar todos os certificados de um compartimento.
  • Operação ChangeCertificateCompartment para alterar o compartimento ao qual um recurso de certificado do serviço API Gateway existente pertence.