En esta página, se describen las tareas de mantenimiento de Apigee mTLS que se deben realizar con regularidad.
Rotar certificados locales
Los certificados locales, que se instalan en cada host de Apigee, se deben reemplazar por otros nuevos cada año. Esto se denomina rotación de certificados. Existen dos maneras de rotar certificados, en función de si usas una autoridad certificadora personalizada o un certificado instalado por Consul.
Rotar certificados locales sin una autoridad certificadora (CA) personalizada
La forma más sencilla de rotar certificados sin una CA personalizada es desinstalar y volver a instalar apigee-mtls
.
Esta acción quita todos los certificados antiguos presentes y genera certificados nuevos a nivel local.
Puedes hacerlo con un tiempo de inactividad mínimo; para ello, ejecuta los siguientes comandos en cada host, uno a la vez:
Nota: Se supone que está presente el mismo archivo silent.conf
que se usó para la instalación inicial.
- Detén todos los componentes principales de Apigee:
/opt/apigee/apigee-service/bin/apigee-all stop
Consulta Iniciar, detener y verificar todos los componentes. - Detener
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- Desinstala
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall
- Reinstala
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls install
- Ejecuta
apigee-mtls setup
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf
- Reinicia
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Reinicia todos los componentes principales de Apigee:
/opt/apigee/apigee-service/bin/apigee-all start
Consulta Iniciar, detener y verificar todos los componentes.
Rota certificados locales con una autoridad certificadora (CA) personalizada
Para rotar certificados locales con una CA personalizada, sigue estos pasos:
- Sigue los pasos que se indican en Cómo usar un certificado personalizado para generar los certificados nuevos que usarás.
- Detén todos los componentes principales de Apigee:
/opt/apigee/apigee-service/bin/apigee-all stop
Consulta Iniciar, detener y verificar todos los componentes. - Detener
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- Quita los archivos de certificación local antiguos:
rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
rm -f /opt/apigee/apigee-mtls/certs/local_key.pem
rm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pem
rm -f /opt/apigee/apigee-mtls/source/certs/local_key.pem
rm -rf /opt/apigee/data/apigee-mtls
- Copia el nuevo par certificado/clave generado en el primer paso en las siguientes ubicaciones y
actualiza los permisos:
cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pem
cp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
cp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
cp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
- Reinicia
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Reinicia todos los componentes principales de Apigee:
/opt/apigee/apigee-service/bin/apigee-all start
Consulta Iniciar, detener y verificar todos los componentes.