问题描述

APIM self-host（自建网关）部署在K8S中，如何在本地上传及更换证书呢？

问题解答

如果使用Self-host网关，则不支持使用上传到 APIM的 CA 根证书验证服务器和客户端证书。 若要建立信任，请配置特定的客户端证书，使其被网关作为一个自定义的证书颁发机构所信任，使用网关APIM REST API 为自承载网关创建和更新证书。

创建自定义 CA 的步骤：

1：向 API 管理实例添加证书 .pfx 文件。

Reference: https://docs.azure.cn/zh-cn/api-management/api-management-howto-mutual-certificates#upload-a-certificate

2：使用网关证书颁发机构 - 创建或更新 REST API，将证书与自管理网关关联。

Reference : https://learn.microsoft.com/zh-cn/rest/api/apimanagement/current-ga/gateway-certificate-authority/create-or-update?tabs=HTTP

注：中国区的APIM需要修改请求的Host

• Global Azure :  https://management.azure.com
• China Azure  :  https://management.chinacloudapi.cn

参考资料

为自承载网关创建自定义 CA： https://docs.azure.cn/zh-cn/api-management/api-management-howto-ca-certificates#create-custom-ca-for-self-hosted-gateway

当在复杂的环境中面临问题，格物之道需：浊而静之徐清，安以动之徐生。 云中，恰是如此!