Cette page décrit les tâches de maintenance mTLS d'Apigee qui doivent être effectuées régulièrement.
Effectuer une rotation des certificats locaux
Les certificats locaux, qui sont installés sur chaque hôte Apigee, doivent être remplacés par de nouveaux chaque année. C'est ce qu'on appelle la rotation du certificat. Il existe deux façons d'alterner les certificats, selon que vous utilisez une autorité de certification personnalisée ou un certificat installé par Consul.
Effectuer une rotation des certificats locaux sans autorité de certification personnalisée
Le moyen le plus simple d'alterner des certificats sans autorité de certification personnalisée consiste à désinstaller et réinstaller apigee-mtls
.
Cette opération supprime tous les anciens certificats présents et génère de nouveaux certificats localement.
Vous pouvez le faire avec un temps d'arrêt minimal en exécutant les commandes suivantes sur chaque hôte, une par une:
Remarque:Cela suppose que le même fichier silent.conf
que celui utilisé pour l'installation initiale est présent.
- Arrêtez tous les composants principaux d'Apigee :
/opt/apigee/apigee-service/bin/apigee-all stop
Consultez la section Démarrer/Arrêter/Vérifier tous les composants. - Arrêter
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- Désinstaller
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall
- Réinstallez
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls install
- Exécutez
apigee-mtls setup
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf
- Redémarrez
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Redémarrez tous les composants principaux d'Apigee :
/opt/apigee/apigee-service/bin/apigee-all start
Consultez Démarrer/Arrêter/Vérifier tous les composants.
Effectuer une rotation de certificats locaux avec une autorité de certification personnalisée
Pour effectuer une rotation des certificats locaux avec une autorité de certification personnalisée, procédez comme suit:
- Suivez la procédure décrite dans la section Utiliser un certificat personnalisé pour générer les nouveaux certificats que vous utiliserez.
- Arrêtez tous les composants principaux d'Apigee :
/opt/apigee/apigee-service/bin/apigee-all stop
Consultez la section Démarrer/Arrêter/Vérifier tous les composants. - Arrêter
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- Supprimez les anciens fichiers de certificat local :
rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
rm -f /opt/apigee/apigee-mtls/certs/local_key.pem
rm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pem
rm -f /opt/apigee/apigee-mtls/source/certs/local_key.pem
rm -rf /opt/apigee/data/apigee-mtls
- Copiez la nouvelle paire certificat/clé générée à la première étape aux emplacements suivants, puis mettez à jour les autorisations :
cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pem
cp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
cp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
cp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
- Redémarrez
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Redémarrez tous les composants principaux d'Apigee :
/opt/apigee/apigee-service/bin/apigee-all start
Consultez Démarrer/Arrêter/Vérifier tous les composants.