このページでは、定期的に実行する必要がある Apigee mTLS のメンテナンス タスクについて説明します。
ローカル証明書のローテーション
各 Apigee ホストにインストールされているローカル証明書は、毎年新しい証明書に置き換える必要があります。これを証明書のローテーションといいます。証明書をローテーションするには、カスタム認証局を使用するか、Consul によってインストールされた証明書を使用するかに応じて、2 つの方法があります。
カスタム認証局(CA)を使用しないローカル証明書のローテーション
カスタム CA を使用せずに証明書をローテーションする最も簡単な方法は、apigee-mtls をアンインストールして再インストールすることです。これにより、存在する古い証明書がすべて削除され、ローカルで新しい証明書が生成されます。
各ホストで次のコマンドを 1 つずつ実行することで、ダウンタイムを最小限に抑えて行うことができます。
注: 最初のインストールに使用したのと同じ silent.conf ファイルが存在することを前提としています。
- すべての Apigee コア コンポーネントを停止します。
/opt/apigee/apigee-service/bin/apigee-all stop
すべてのコンポーネントの起動、停止、確認をご覧ください。 apigee-mtlsを停止します。/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
apigee-mtlsをアンインストールします。/opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall
apigee-mtlsを再インストールします。/opt/apigee/apigee-service/bin/apigee-service apigee-mtls install
apigee-mtls setupを実行します。/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf
apigee-mtlsを再起動します。/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- すべての Apigee コア コンポーネントを再起動します。
/opt/apigee/apigee-service/bin/apigee-all start
すべてのコンポーネントの起動、停止、確認をご覧ください。
カスタム認証局(CA)によるローカル証明書のローテーション
カスタム CA でローカル証明書をローテーションするには、次の操作を行います。
- カスタム証明書を使用するの手順に沿って、使用する新しい証明書を生成します。
- すべての Apigee コア コンポーネントを停止します。
/opt/apigee/apigee-service/bin/apigee-all stop
すべてのコンポーネントの起動、停止、確認をご覧ください。 apigee-mtlsを停止します。/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- 古いローカル証明書ファイルを削除します。
rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
rm -f /opt/apigee/apigee-mtls/certs/local_key.pemrm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pemrm -f /opt/apigee/apigee-mtls/source/certs/local_key.pemrm -rf /opt/apigee/data/apigee-mtls - 最初のステップで生成した新しい証明書と鍵のペアを次の場所にコピーして、権限を更新します。
cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pemcp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemcp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemcp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem apigee-mtlsを再起動します。/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- すべての Apigee コア コンポーネントを再起動します。
/opt/apigee/apigee-service/bin/apigee-all start
すべてのコンポーネントの起動、停止、確認をご覧ください。