Apigee mTLS-Wartung

Auf dieser Seite werden Apigee mTLS-Wartungsaufgaben beschrieben, die regelmäßig ausgeführt werden müssen.

Lokale Zertifikate rotieren

Lokale Zertifikate, die auf jedem Apigee-Host installiert sind, müssen jährlich durch neue ersetzt werden. Dies wird als Zertifikatsrotation bezeichnet. Es gibt zwei Möglichkeiten, Zertifikate zu rotieren, je nachdem, ob Sie eine benutzerdefinierte Zertifizierungsstelle oder ein von Consul installiertes Zertifikat verwenden.

Lokale Zertifikate ohne benutzerdefinierte Zertifizierungsstelle rotieren

Am einfachsten lassen sich Zertifikate ohne eine benutzerdefinierte Zertifizierungsstelle rotieren, indem Sie apigee-mtls deinstallieren und neu installieren. Dadurch werden alle vorhandenen alten Zertifikate entfernt und neue lokal generiert. Sie können dies mit minimaler Ausfallzeit tun, indem Sie nacheinander auf jedem Host die folgenden Befehle ausführen:

Hinweis: Dabei wird davon ausgegangen, dass dieselbe silent.conf-Datei vorhanden ist, die für die Erstinstallation verwendet wurde.

1. Stoppen Sie alle Apigee-Kernkomponenten:

   /opt/apigee/apigee-service/bin/apigee-all stop

   Weitere Informationen finden Sie unter Alle Komponenten starten/stoppen/prüfen.
2. apigee-mtls anhalten:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop

3. apigee-mtls deinstallieren:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall

4. apigee-mtls neu installieren:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls install

5. Führen Sie apigee-mtls setup aus:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf

6. Starten Sie apigee-mtls neu:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls start

7. Starten Sie alle Apigee-Kernkomponenten neu:

   /opt/apigee/apigee-service/bin/apigee-all start

   Weitere Informationen finden Sie unter Alle Komponenten starten/stoppen/prüfen.

Lokale Zertifikate mit einer benutzerdefinierten Zertifizierungsstelle rotieren

So rotieren Sie lokale Zertifikate mit einer benutzerdefinierten Zertifizierungsstelle:

1. Folgen Sie der Anleitung unter Benutzerdefiniertes Zertifikat verwenden, um die neu verwendeten Zertifikate zu generieren.
2. Stoppen Sie alle Apigee-Kernkomponenten:

   /opt/apigee/apigee-service/bin/apigee-all stop

   Weitere Informationen finden Sie unter Alle Komponenten starten/stoppen/prüfen.
3. Haltestelle apigee-mtls:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop

4. Entfernen Sie die alten lokalen Zertifikatsdateien:

   rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
   rm -f /opt/apigee/apigee-mtls/certs/local_key.pem
   rm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   rm -f /opt/apigee/apigee-mtls/source/certs/local_key.pem
   rm -rf /opt/apigee/data/apigee-mtls

5. Kopieren Sie das neue Zertifikat/Schlüsselpaar, das im ersten Schritt generiert wurde, an die folgenden Speicherorte und aktualisieren Sie die Berechtigungen:

   cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/certs/local_cert.pem
   
   cp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   cp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   cp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem

6. apigee-mtls neu starten:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls start

7. Starten Sie alle Apigee-Kernkomponenten neu:

   /opt/apigee/apigee-service/bin/apigee-all start

   Weitere Informationen finden Sie unter Alle Komponenten starten/stoppen/prüfen.