Nesta página, descrevemos as tarefas de manutenção de mTLS da Apigee que precisam ser realizadas regularmente.
Como fazer a rotação de certificados locais
Os certificados locais, instalados em cada host da Apigee, precisam ser substituídos por novos anualmente. Isso é chamado de rotação de certificado. Há duas maneiras de alternar certificados, dependendo se você está usando uma autoridade de certificação personalizada ou um certificado instalado pelo Consul.
Alternar certificados locais sem uma autoridade de certificação (CA) personalizada
A maneira mais simples de alternar certificados sem uma CA personalizada é desinstalar e reinstalar apigee-mtls
.
Isso remove todos os certificados antigos presentes e gera novos certificados localmente.
É possível fazer isso com tempo de inatividade mínimo, executando os seguintes comandos em cada host,
um de cada vez:
Observação:isso pressupõe que o mesmo arquivo silent.conf
usado na
instalação inicial esteja presente.
- Interrompa todos os componentes principais da Apigee:
/opt/apigee/apigee-service/bin/apigee-all stop
Consulte Iniciar/parar/verificar todos os componentes. - Parar
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- Desinstalar
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall
- Reinstale
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls install
- Execute
apigee-mtls setup
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf
- Reiniciar
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Reinicie todos os componentes principais da Apigee:
/opt/apigee/apigee-service/bin/apigee-all start
Consulte Iniciar/parar/verificar todos os componentes.
Alternar certificados locais com uma autoridade de certificação (CA) personalizada
Para alternar certificados locais com uma CA personalizada, siga estas etapas:
- Siga as etapas em Usar um certificado personalizado para gerar os novos certificados que serão usados.
- Interrompa todos os componentes principais da Apigee:
/opt/apigee/apigee-service/bin/apigee-all stop
Consulte Iniciar/parar/verificar todos os componentes. - Parar
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- Remova os arquivos de certificado locais antigos:
rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
rm -f /opt/apigee/apigee-mtls/certs/local_key.pem
rm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pem
rm -f /opt/apigee/apigee-mtls/source/certs/local_key.pem
rm -rf /opt/apigee/data/apigee-mtls
- Copie o novo par de certificados/chaves gerado na primeira etapa nos seguintes locais e
atualize as permissões:
cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pem
cp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
cp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
cp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
- Reiniciar
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Reinicie todos os componentes principais da Apigee:
/opt/apigee/apigee-service/bin/apigee-all start
Consulte Iniciar/parar/verificar todos os componentes.