Questa pagina descrive le attività di manutenzione di Apigee mTLS che devono essere eseguite regolarmente.
Rotazione dei certificati locali
I certificati locali, installati su ciascun host Apigee, devono essere sostituiti annualmente con nuovi certificati. Questo processo è chiamato rotazione del certificato. Esistono due modi per ruotare i certificati, a seconda che utilizzi un'autorità di certificazione personalizzata o un certificato installato da Consul.
Rotazione dei certificati locali senza un'autorità di certificazione (CA) personalizzata
Il modo più semplice per ruotare i certificati senza una CA personalizzata è disinstallare e reinstallare apigee-mtls
.
In questo modo vengono rimossi tutti i certificati precedenti e vengono generati nuovi certificati localmente.
Puoi farlo con tempi di inattività minimi eseguendo i comandi seguenti su ciascun host, uno alla volta:
Nota: questo processo presuppone che sia presente lo stesso file silent.conf
utilizzato per l'installazione iniziale.
- Arresta tutti i componenti principali di Apigee:
/opt/apigee/apigee-service/bin/apigee-all stop
Consulta Avvia/interrompi/controlla tutti i componenti. - Interrompi
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- Disinstalla
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall
- Reinstalla
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls install
- Esegui
apigee-mtls setup
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf
- Riavvia
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Riavvia tutti i componenti principali di Apigee:
/opt/apigee/apigee-service/bin/apigee-all start
Consulta Avvia/interrompi/controlla tutti i componenti.
Rotazione dei certificati locali con un'autorità di certificazione (CA) personalizzata
Per ruotare i certificati locali con una CA personalizzata:
- Segui i passaggi descritti in Utilizzare un certificato personalizzato per generare i nuovi certificati che utilizzerai.
- Arresta tutti i componenti principali di Apigee:
/opt/apigee/apigee-service/bin/apigee-all stop
Consulta Avvia/interrompi/controlla tutti i componenti. - Interrompi
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- Rimuovi i vecchi file dei certificati locali:
rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
rm -f /opt/apigee/apigee-mtls/certs/local_key.pem
rm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pem
rm -f /opt/apigee/apigee-mtls/source/certs/local_key.pem
rm -rf /opt/apigee/data/apigee-mtls
- Copia la nuova coppia di certificato/chiave generata nel primo passaggio nelle posizioni seguenti e
aggiorna le autorizzazioni:
cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pem
cp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
cp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
cp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
- Riavvia
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Riavvia tutti i componenti principali di Apigee:
/opt/apigee/apigee-service/bin/apigee-all start
Consulta Avvia/interrompi/controlla tutti i componenti.