Apigee mTLS 维护

本页面介绍了需要定期执行的 Apigee mTLS 维护任务。

轮替本地证书

每个 Apigee 主机上安装的本地证书每年需要替换为新证书。此过程称为证书轮替。有两种方法可以轮替证书，具体取决于您使用的是自定义证书授权机构还是由 Consul 安装的证书。

在没有自定义证书授权机构 (CA) 的情况下轮替本地证书

如需在没有自定义 CA 的情况下轮替证书，最简单的方法是卸载并重新安装 apigee-mtls。这会移除存在的所有旧证书，并在本地生成新证书。您可以在每个主机上依次运行以下命令，以尽可能缩短停机时间来实现此目的：

注意：这假定存在用于初始安装的同一 silent.conf 文件。

1. 停止所有核心 Apigee 组件：

   /opt/apigee/apigee-service/bin/apigee-all stop

   请参阅 启动/停止/检查所有组件。
2. 停止 apigee-mtls：

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop

3. 卸载 apigee-mtls：

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall

4. 重新安装 apigee-mtls：

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls install

5. 运行 apigee-mtls setup：

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf

6. 重启 apigee-mtls：

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls start

7. 重启所有核心 Apigee 组件：

   /opt/apigee/apigee-service/bin/apigee-all start

   请参阅 启动/停止/检查所有组件。

使用自定义证书授权机构 (CA) 轮替本地证书

如需轮替具有自定义 CA 的本地证书，请执行以下步骤：

1. 按照使用自定义证书中的步骤生成您将使用的新证书。
2. 停止所有核心 Apigee 组件：

   /opt/apigee/apigee-service/bin/apigee-all stop

   请参阅 启动/停止/检查所有组件。
3. 停止“apigee-mtls”：

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop

4. 移除旧的本地证书文件：

   rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
   rm -f /opt/apigee/apigee-mtls/certs/local_key.pem
   rm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   rm -f /opt/apigee/apigee-mtls/source/certs/local_key.pem
   rm -rf /opt/apigee/data/apigee-mtls

5. 将第一步中生成的新证书/密钥对复制到以下位置，并更新权限：

   cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/certs/local_cert.pem
   
   cp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   cp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   cp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem

6. 重启 apigee-mtls：

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls start

7. 重启所有核心 Apigee 组件：

   /opt/apigee/apigee-service/bin/apigee-all start

   请参阅 启动/停止/检查所有组件。