Halaman ini menjelaskan tugas pemeliharaan Apigee mTLS yang harus dilakukan secara rutin.
Merotasi sertifikat lokal
Sertifikat lokal, yang diinstal di setiap host Apigee, harus diganti dengan sertifikat baru setiap tahun. Tindakan ini disebut rotasi sertifikat. Ada dua cara untuk merotasi sertifikat, bergantung pada apakah Anda menggunakan certificate authority kustom, atau sertifikat yang diinstal oleh Consul.
Merotasi sertifikat lokal tanpa certificate authority (CA) kustom
Cara termudah untuk merotasi sertifikat tanpa CA kustom adalah dengan meng-uninstal dan menginstal ulang apigee-mtls.
Tindakan ini akan menghapus semua sertifikat lama yang ada dan membuat sertifikat baru secara lokal.
Anda dapat melakukannya dengan periode nonaktif minimal dengan melakukan perintah berikut pada setiap host,
satu per satu:
Catatan: Tindakan ini mengasumsikan file silent.conf yang sama dengan yang digunakan untuk
penginstalan awal sudah ada.
- Menghentikan semua komponen Apigee inti:
/opt/apigee/apigee-service/bin/apigee-all stop
Lihat Memulai/menghentikan/memeriksa semua komponen. - Hentikan
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- Uninstal
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall
- Instal ulang
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls install
- Jalankan
apigee-mtls setup:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf
- Mulai ulang
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Mulai ulang semua komponen Apigee inti:
/opt/apigee/apigee-service/bin/apigee-all start
Lihat Memulai/menghentikan/memeriksa semua komponen.
Merotasi sertifikat lokal dengan certificate authority (CA) kustom
Untuk merotasi sertifikat lokal dengan CA kustom, lakukan langkah-langkah berikut:
- Ikuti langkah-langkah di Menggunakan sertifikat kustom untuk membuat sertifikat baru yang akan digunakan.
- Menghentikan semua komponen Apigee inti:
/opt/apigee/apigee-service/bin/apigee-all stop
Lihat Memulai/menghentikan/memeriksa semua komponen. - Hentikan
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- Hapus file sertifikat lokal lama:
rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
rm -f /opt/apigee/apigee-mtls/certs/local_key.pemrm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pemrm -f /opt/apigee/apigee-mtls/source/certs/local_key.pemrm -rf /opt/apigee/data/apigee-mtls - Salin pasangan sertifikat/kunci baru yang dihasilkan pada langkah pertama ke lokasi berikut, dan
perbarui izin:
cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pemcp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemcp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemcp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem - Mulai ulang
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Mulai ulang semua komponen Apigee inti:
/opt/apigee/apigee-service/bin/apigee-all start
Lihat Memulai/menghentikan/memeriksa semua komponen.