Apigee mTLS のメンテナンス

このページでは、定期的に行う必要がある Apigee mTLS メンテナンス タスクについて説明します。

ローカル証明書のローテーション

各 Apigee ホストにインストールされているローカル証明書は、毎年新しい証明書に置き換える必要があります。これは証明書のローテーションと呼ばれます証明書をローテーションする方法は、カスタム認証局を使用するか、Consul によってインストールされた証明書を使用するかに応じて、2 通りあります。

カスタム認証局(CA)を使用しないローカル証明書のローテーション

カスタム CA を使用せずに証明書をローテーションする最も簡単な方法は、apigee-mtlsアンインストールしてから再インストールする方法です。 これにより、既存の古い証明書がすべて削除され、新しい証明書がローカルで生成されます。 最小限のダウンタイムでこれを行うには、各ホストで次のコマンドを 1 つずつ実行します。

注: これは、初期インストールに使用した silent.conf ファイルが存在することを前提としています。

  1. すべての Apigee コア コンポーネントを停止します。
    /opt/apigee/apigee-service/bin/apigee-all stop
    すべてのコンポーネントの起動、停止、確認をご覧ください。
  2. apigee-mtls を停止します。
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
  3. apigee-mtls をアンインストールします。
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall
  4. apigee-mtls を再インストールします。
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls install
  5. apigee-mtls setup を実行します。
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf
  6. apigee-mtls を再起動します。
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
  7. すべての Apigee コア コンポーネントを再起動します。
    /opt/apigee/apigee-service/bin/apigee-all start
    すべてのコンポーネントの起動、停止、確認をご覧ください。

カスタム認証局(CA)を使用したローカル証明書のローテーション

カスタム CA を使用してローカル証明書をローテーションするには、次の手順を行います。

  1. カスタム証明書を使用するの手順に沿って、使用する新しい証明書を生成します。
  2. すべての Apigee コア コンポーネントを停止します。
    /opt/apigee/apigee-service/bin/apigee-all stop
    すべてのコンポーネントの起動、停止、確認をご覧ください。
  3. apigee-mtls を停止します。
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
  4. 古いローカル証明書ファイルを削除します。
    rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
    rm -f /opt/apigee/apigee-mtls/certs/local_key.pem
    rm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pem
    rm -f /opt/apigee/apigee-mtls/source/certs/local_key.pem
    rm -rf /opt/apigee/data/apigee-mtls
  5. 最初のステップで生成された新しい証明書と鍵のペアを次の場所にコピーし、権限を更新します。
    cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pem
    
    chmod \
      --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
      /opt/apigee/apigee-mtls/certs/local_cert.pem
    
    chown \
      --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
      /opt/apigee/apigee-mtls/certs/local_cert.pem
    
    cp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pem
    
    chmod \
      --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
      /opt/apigee/apigee-mtls/source/certs/local_cert.pem
    
    chown \
      --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
      /opt/apigee/apigee-mtls/source/certs/local_cert.pem
    
    cp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pem
    
    chmod \
      --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
      /opt/apigee/apigee-mtls/source/certs/local_cert.pem
    
    chown \
      --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
      /opt/apigee/apigee-mtls/source/certs/local_cert.pem
    
    cp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pem
    
    chmod \
      --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
      /opt/apigee/apigee-mtls/source/certs/local_cert.pem
    
    chown \
      --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
      /opt/apigee/apigee-mtls/source/certs/local_cert.pem
  6. apigee-mtls を再起動します。
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
  7. すべての Apigee コア コンポーネントを再起動します。
    /opt/apigee/apigee-service/bin/apigee-all start
    すべてのコンポーネントの起動、停止、確認をご覧ください。