Gateway 10.0 では、同じキーを別の名前と有効期限でアップロード/更新できました。Gateway 10.1 では同じ手順を実行できません。
SSG エラー:
2022-01-25T20:27:26.352-0800 WARNING 1714 com.l7tech.server.security.keystore.ReplaceCertificateChainManager: New certificate does not certify the public key for the private key CN=<certificate name>
2022-01-25T20:27:26.352-0800 WARNING 1714 com.l7tech.server.security.keystore.JdkKeyStoreBackedSsgKeyStore: Failed to get the impacted certificate chains: New certificate does not certify the public key for the private key CN=<certificate name>
com.l7tech.server.security.keystore.ReplaceCertificateChainManager$ReplaceCertificateChainException: New certificate does not certify the public key for the private key CN=<certificate name>
API Gateway 10.1
Gateway の JDK 実装 "PKCS12KeyStore" に依存しています。
KeyStore.store()呼び出し中に、最初に秘密鍵データが書き込まれ、次にこれらの秘密鍵に関連付けられた証明書チェーンが書き込まれます。KeyStore.load()呼び出し中に、SubjectDN と IssuerDN の値に基づいて証明書チェーンが再作成されます。中間の二つの SubjectDN 値が同じであるため、両方の秘密鍵は実際には異なっていてもキーの同じチェーンを示します。
これは既知の問題です(Known Issues: DE464166, DE337781)。
この問題に対処するため、バージョン 10.1 CR03 で以下の新機能が導入されました。同バージョンを適用してください。
クラスター全体のプロパティ keystore.allowDuplicatesBySubjectDN を利用して、Gatewayは同じ SubjectDN を持つ秘密鍵をサポートします。このプロパティは、同じ SubjectDN の秘密鍵を有効または無効にするオプションを提供します。詳細については、"Enable Multiple Private Keys with Same Subject DN" を参照してください。
以下はクラスター全体のプロパティを設定する手順です。