本頁說明需要定期執行的 Apigee mTLS 維護工作。
輪替本機憑證
安裝在各 Apigee 主機上的本機憑證,每年都必須替換為新的憑證。這稱為憑證輪替。視您使用的是自訂憑證授權單位,還是 Consul 安裝的憑證而定,有兩種方法可以輪替憑證。
在沒有自訂憑證授權單位 (CA) 的情況下輪替本機憑證
如要在不自訂 CA 的情況下輪替憑證,最簡單的方法就是解除安裝並重新安裝 apigee-mtls
。這項操作會移除現有的所有舊憑證,並在本機產生新憑證。您可以在每個主機逐一執行下列指令,以便在最短的停機時間內執行此操作:
注意:這假設有一個用於初次安裝所用的 silent.conf
檔案。
- 停止所有 Apigee 核心元件:
/opt/apigee/apigee-service/bin/apigee-all stop
請參閱 啟動/停止/檢查所有元件。 - 停止
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- 解除安裝「
apigee-mtls
」:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall
- 重新安裝
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls install
- 執行
apigee-mtls setup
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf
- 重新啟動
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- 重新啟動所有 Apigee 核心元件:
/opt/apigee/apigee-service/bin/apigee-all start
請參閱 啟動/停止/檢查所有元件。
透過自訂憑證授權單位 (CA) 輪替本機憑證
如要透過自訂 CA 輪替本機憑證,請按照下列步驟操作:
- 請按照「使用自訂憑證」一節中的步驟,產生您要使用的新憑證。
- 停止所有 Apigee 核心元件:
/opt/apigee/apigee-service/bin/apigee-all stop
請參閱 啟動/停止/檢查所有元件。 - 停止
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- 移除舊的本機憑證檔案:
rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
rm -f /opt/apigee/apigee-mtls/certs/local_key.pem
rm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pem
rm -f /opt/apigee/apigee-mtls/source/certs/local_key.pem
rm -rf /opt/apigee/data/apigee-mtls
- 將第一個步驟中產生的新憑證/金鑰組複製到下列位置,然後更新權限:
cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pem
cp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
cp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
cp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
- 重新啟動
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- 重新啟動所有 Apigee 核心元件:
/opt/apigee/apigee-service/bin/apigee-all start
請參閱 啟動/停止/檢查所有元件。