小编点评

## APIM Self-host 证书创建与更换指南 **问题：** 如何在本地上传及更换 APIM self-host（自建网关）证书呢？ **解决方案：** 使用自定义 CA 创建和更新证书。以下是创建自定义 CA 的步骤： **1. 向 API 管理实例添加证书 .pfx 文件。** * 请将您本地证书 .pfx 文件上传到 API 管理实例的 "Certificate Management" 页面。 * 参考：`https://docs.azure.cn/zh-cn/api-management/api-management-howto-mutual-certificates#upload-a-certificate` **2. 使用网关证书颁发机构 - 创建或更新 REST API，将证书与自管理网关关联。** * 请使用您创建的证书颁发机构创建或更新 REST API，并将证书与自管理网关关联。 * 参考：`https://learn.microsoft.com/zh-cn/rest/api/apimanagement/current-ga/gateway-certificate-authority/create-or-update?tabs=HTTP **创建自定义 CA 的步骤：** 1. 向 API 管理实例添加证书 .pfx 文件。 2. 使用网关证书颁发机构 - 创建或更新 REST API，将证书与自管理网关关联。 3. 创建自定义 CA，并将证书 .pfx 文件添加到 CA 中。 4. 配置 APIM REST API 为自承载网关创建和更新证书。 **注意：** * 中国区的 APIM 需要修改请求的 `HostGlobal Azure` 到 `https://management.azure.comChina Azure`。 * 请确保您拥有所需的权限，能够管理 API 管理实例和证书颁发机构。 **参考资料：** * `API Management Certificate Management`: `certificate management` * `Self-Hosted Gateway Certificate Authority`: `custom CA`

正文

问题描述

APIM self-host（自建网关）部署在K8S中，如何在本地上传及更换证书呢？

 

问题解答

如果使用Self-host网关，则不支持使用上传到 APIM的 CA 根证书验证服务器和客户端证书。 若要建立信任，请配置特定的客户端证书，使其被网关作为一个自定义的证书颁发机构所信任，使用网关APIM REST API 为自承载网关创建和更新证书。

 

创建自定义 CA 的步骤：

1：向 API 管理实例添加证书 .pfx 文件。

Reference: https://docs.azure.cn/zh-cn/api-management/api-management-howto-mutual-certificates#upload-a-certificate

 

2：使用网关证书颁发机构 - 创建或更新 REST API，将证书与自管理网关关联。

Reference : https://learn.microsoft.com/zh-cn/rest/api/apimanagement/current-ga/gateway-certificate-authority/create-or-update?tabs=HTTP

注：中国区的APIM需要修改请求的Host

• Global Azure :  https://management.azure.com
• China Azure  :  https://management.chinacloudapi.cn

参考资料

为自承载网关创建自定义 CA： https://docs.azure.cn/zh-cn/api-management/api-management-howto-ca-certificates#create-custom-ca-for-self-hosted-gateway