本页面介绍了需要定期执行的 Apigee mTLS 维护任务。
轮替本地证书
每个 Apigee 主机上安装的本地证书每年需要替换为新证书。此过程称为证书轮替。有两种方法可以轮替证书,具体取决于您使用的是自定义证书授权机构还是由 Consul 安装的证书。
在没有自定义证书授权机构 (CA) 的情况下轮替本地证书
如需在没有自定义 CA 的情况下轮替证书,最简单的方法是卸载并重新安装 apigee-mtls
。这会移除存在的所有旧证书,并在本地生成新证书。您可以在每个主机上依次运行以下命令,以尽可能缩短停机时间来实现此目的:
注意:这假定存在用于初始安装的同一 silent.conf
文件。
- 停止所有核心 Apigee 组件:
/opt/apigee/apigee-service/bin/apigee-all stop
请参阅 启动/停止/检查所有组件。 - 停止
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- 卸载
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall
- 重新安装
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls install
- 运行
apigee-mtls setup
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf
- 重启
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- 重启所有核心 Apigee 组件:
/opt/apigee/apigee-service/bin/apigee-all start
请参阅 启动/停止/检查所有组件。
使用自定义证书授权机构 (CA) 轮替本地证书
如需轮替具有自定义 CA 的本地证书,请执行以下步骤:
- 按照使用自定义证书中的步骤生成您将使用的新证书。
- 停止所有核心 Apigee 组件:
/opt/apigee/apigee-service/bin/apigee-all stop
请参阅 启动/停止/检查所有组件。 - 停止“
apigee-mtls
”:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- 移除旧的本地证书文件:
rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
rm -f /opt/apigee/apigee-mtls/certs/local_key.pem
rm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pem
rm -f /opt/apigee/apigee-mtls/source/certs/local_key.pem
rm -rf /opt/apigee/data/apigee-mtls
- 将第一步中生成的新证书/密钥对复制到以下位置,并更新权限:
cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pem
cp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
cp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
cp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
- 重启
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- 重启所有核心 Apigee 组件:
/opt/apigee/apigee-service/bin/apigee-all start
请参阅 启动/停止/检查所有组件。