Na tej stronie opisano zadania konserwacji Apigee mTLS, które należy wykonywać regularnie.
Rotacja certyfikatów lokalnych
Certyfikaty lokalne zainstalowane na każdym hoście Apigee trzeba co roku zastępować nowymi. Jest to tzw. rotacja certyfikatów. Istnieją 2 sposoby rotacji certyfikatów w zależności od tego, czy używasz niestandardowego urzędu certyfikacji czy certyfikatu zainstalowanego przez Consul.
Rotacja certyfikatów lokalnych bez niestandardowego urzędu certyfikacji
Najprostszym sposobem na rotację certyfikatów bez niestandardowego urzędu certyfikacji jest odinstalowanie i ponowne zainstalowanie apigee-mtls
.
Spowoduje to usunięcie wszystkich starych certyfikatów i lokalne wygenerowanie nowych certyfikatów.
Możesz to zrobić przy minimalnym czasie przestoju, wykonując następujące polecenia na każdym hoście (pojedynczo):
Uwaga: zakładamy, że istnieje ten sam plik silent.conf
, który został użyty podczas pierwszej instalacji.
- Zatrzymaj wszystkie podstawowe komponenty Apigee:
/opt/apigee/apigee-service/bin/apigee-all stop
Zapoznaj się z informacjami o uruchamianiu, zatrzymaniu i sprawdzaniu wszystkich komponentów. - Zatrzymaj
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- Odinstaluj aplikację
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall
- Ponownie zainstaluj
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls install
- Uruchomienie
apigee-mtls setup
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf
- Uruchom ponownie instancję
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Ponownie uruchom wszystkie podstawowe komponenty Apigee:
/opt/apigee/apigee-service/bin/apigee-all start
Patrz Uruchamianie, zatrzymywanie i sprawdzanie wszystkich komponentów.
Rotacja certyfikatów lokalnych z niestandardowym urzędem certyfikacji
Aby przeprowadzić rotację certyfikatów lokalnych z niestandardowym urzędem certyfikacji, wykonaj te czynności:
- Wykonaj czynności opisane w artykule Używanie certyfikatu niestandardowego, aby wygenerować nowe certyfikaty, których będziesz używać.
- Zatrzymaj wszystkie podstawowe komponenty Apigee:
/opt/apigee/apigee-service/bin/apigee-all stop
Zapoznaj się z informacjami o uruchamianiu, zatrzymaniu i sprawdzaniu wszystkich komponentów. - Zatrzymaj
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- Usuń stare lokalne pliki certyfikatów:
rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
rm -f /opt/apigee/apigee-mtls/certs/local_key.pem
rm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pem
rm -f /opt/apigee/apigee-mtls/source/certs/local_key.pem
rm -rf /opt/apigee/data/apigee-mtls
- Skopiuj nową parę certyfikat/klucz wygenerowaną w pierwszym kroku do tych lokalizacji i zaktualizuj uprawnienia:
cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pem
cp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
cp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
cp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
- Uruchom ponownie instancję
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Ponownie uruchom wszystkie podstawowe komponenty Apigee:
/opt/apigee/apigee-service/bin/apigee-all start
Patrz Uruchamianie, zatrzymywanie i sprawdzanie wszystkich komponentów.