Maintenance mTLS d'Apigee

Cette page décrit les tâches de maintenance mTLS d'Apigee qui doivent être effectuées régulièrement.

Effectuer une rotation des certificats locaux

Les certificats locaux, qui sont installés sur chaque hôte Apigee, doivent être remplacés par de nouveaux chaque année. C'est ce qu'on appelle la rotation du certificat. Il existe deux façons d'alterner les certificats, selon que vous utilisez une autorité de certification personnalisée ou un certificat installé par Consul.

Effectuer une rotation des certificats locaux sans autorité de certification personnalisée

Le moyen le plus simple d'alterner des certificats sans autorité de certification personnalisée consiste à désinstaller et réinstaller apigee-mtls. Cette opération supprime tous les anciens certificats présents et génère de nouveaux certificats localement. Vous pouvez le faire avec un temps d'arrêt minimal en exécutant les commandes suivantes sur chaque hôte, une par une:

Remarque:Cela suppose que le même fichier silent.conf que celui utilisé pour l'installation initiale est présent.

1. Arrêtez tous les composants principaux d'Apigee :

   /opt/apigee/apigee-service/bin/apigee-all stop

   Consultez la section Démarrer/Arrêter/Vérifier tous les composants.
2. Arrêter apigee-mtls :

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop

3. Désinstaller apigee-mtls :

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall

4. Réinstallez apigee-mtls :

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls install

5. Exécutez apigee-mtls setup :

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf

6. Redémarrez apigee-mtls :

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls start

7. Redémarrez tous les composants principaux d'Apigee :

   /opt/apigee/apigee-service/bin/apigee-all start

   Consultez Démarrer/Arrêter/Vérifier tous les composants.

Effectuer une rotation de certificats locaux avec une autorité de certification personnalisée

Pour effectuer une rotation des certificats locaux avec une autorité de certification personnalisée, procédez comme suit:

1. Suivez la procédure décrite dans la section Utiliser un certificat personnalisé pour générer les nouveaux certificats que vous utiliserez.
2. Arrêtez tous les composants principaux d'Apigee :

   /opt/apigee/apigee-service/bin/apigee-all stop

   Consultez la section Démarrer/Arrêter/Vérifier tous les composants.
3. Arrêter apigee-mtls :

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop

4. Supprimez les anciens fichiers de certificat local :

   rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
   rm -f /opt/apigee/apigee-mtls/certs/local_key.pem
   rm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   rm -f /opt/apigee/apigee-mtls/source/certs/local_key.pem
   rm -rf /opt/apigee/data/apigee-mtls

5. Copiez la nouvelle paire certificat/clé générée à la première étape aux emplacements suivants, puis mettez à jour les autorisations :

   cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/certs/local_cert.pem
   
   cp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   cp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   cp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem

6. Redémarrez apigee-mtls :

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls start

7. Redémarrez tous les composants principaux d'Apigee :

   /opt/apigee/apigee-service/bin/apigee-all start

   Consultez Démarrer/Arrêter/Vérifier tous les composants.