Konserwacja Apigee mTLS

Na tej stronie opisano zadania konserwacji Apigee mTLS, które należy wykonywać regularnie.

Rotacja certyfikatów lokalnych

Certyfikaty lokalne zainstalowane na każdym hoście Apigee trzeba co roku zastępować nowymi. Jest to tzw. rotacja certyfikatów. Istnieją 2 sposoby rotacji certyfikatów w zależności od tego, czy używasz niestandardowego urzędu certyfikacji czy certyfikatu zainstalowanego przez Consul.

Rotacja certyfikatów lokalnych bez niestandardowego urzędu certyfikacji

Najprostszym sposobem na rotację certyfikatów bez niestandardowego urzędu certyfikacji jest odinstalowanie i ponowne zainstalowanie apigee-mtls. Spowoduje to usunięcie wszystkich starych certyfikatów i lokalne wygenerowanie nowych certyfikatów. Możesz to zrobić przy minimalnym czasie przestoju, wykonując następujące polecenia na każdym hoście (pojedynczo):

Uwaga: zakładamy, że istnieje ten sam plik silent.conf, który został użyty podczas pierwszej instalacji.

1. Zatrzymaj wszystkie podstawowe komponenty Apigee:

   /opt/apigee/apigee-service/bin/apigee-all stop

   Zapoznaj się z informacjami o uruchamianiu, zatrzymaniu i sprawdzaniu wszystkich komponentów.
2. Zatrzymaj apigee-mtls:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop

3. Odinstaluj aplikację apigee-mtls:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall

4. Ponownie zainstaluj apigee-mtls:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls install

5. Uruchomienie apigee-mtls setup:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf

6. Uruchom ponownie instancję apigee-mtls:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls start

7. Ponownie uruchom wszystkie podstawowe komponenty Apigee:

   /opt/apigee/apigee-service/bin/apigee-all start

   Patrz Uruchamianie, zatrzymywanie i sprawdzanie wszystkich komponentów.

Rotacja certyfikatów lokalnych z niestandardowym urzędem certyfikacji

Aby przeprowadzić rotację certyfikatów lokalnych z niestandardowym urzędem certyfikacji, wykonaj te czynności:

1. Wykonaj czynności opisane w artykule Używanie certyfikatu niestandardowego, aby wygenerować nowe certyfikaty, których będziesz używać.
2. Zatrzymaj wszystkie podstawowe komponenty Apigee:

   /opt/apigee/apigee-service/bin/apigee-all stop

   Zapoznaj się z informacjami o uruchamianiu, zatrzymaniu i sprawdzaniu wszystkich komponentów.
3. Zatrzymaj apigee-mtls:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop

4. Usuń stare lokalne pliki certyfikatów:

   rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
   rm -f /opt/apigee/apigee-mtls/certs/local_key.pem
   rm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   rm -f /opt/apigee/apigee-mtls/source/certs/local_key.pem
   rm -rf /opt/apigee/data/apigee-mtls

5. Skopiuj nową parę certyfikat/klucz wygenerowaną w pierwszym kroku do tych lokalizacji i zaktualizuj uprawnienia:

   cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/certs/local_cert.pem
   
   cp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   cp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   cp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem

6. Uruchom ponownie instancję apigee-mtls:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls start

7. Ponownie uruchom wszystkie podstawowe komponenty Apigee:

   /opt/apigee/apigee-service/bin/apigee-all start

   Patrz Uruchamianie, zatrzymywanie i sprawdzanie wszystkich komponentów.