На этой странице описаны задачи обслуживания Apigee mTLS, которые необходимо выполнять регулярно.
Ротация локальных сертификатов
Локальные сертификаты, которые установлены на каждом хосте Apigee, необходимо ежегодно заменять новыми. Это называется ротацией сертификатов. Существует два способа ротации сертификатов, в зависимости от того, используете ли вы собственный центр сертификации или сертификат, установленный Consul.
Ротация локальных сертификатов без специального центра сертификации (CA)
Самый простой способ ротации сертификатов без специального центра сертификации — удалить и переустановить apigee-mtls . При этом удаляются все имеющиеся старые сертификаты и локально создаются новые сертификаты. Вы можете сделать это с минимальным временем простоя, выполнив следующие команды на каждом хосте по одной:
Примечание. Предполагается, что присутствует тот же файл silent.conf , который использовался для первоначальной установки.
- Остановите все основные компоненты Apigee:
/opt/apigee/apigee-service/bin/apigee-all stop
См. Запуск/остановка/проверка всех компонентов . - Остановите
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- Удалить
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall
- Переустановите
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls install
- Запустите
apigee-mtls setup:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf
- Перезапустите
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Перезапустите все основные компоненты Apigee:
/opt/apigee/apigee-service/bin/apigee-all start
См. раздел «Запуск/остановка/проверка всех компонентов» .
Ротация локальных сертификатов с помощью специального центра сертификации (CA)
Чтобы выполнить ротацию локальных сертификатов с помощью специального центра сертификации, выполните следующие действия:
- Выполните действия, описанные в разделе Использование пользовательского сертификата , чтобы создать новые сертификаты, которые вы будете использовать.
- Остановите все основные компоненты Apigee:
/opt/apigee/apigee-service/bin/apigee-all stop
См. Запуск/остановка/проверка всех компонентов . - Остановите
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- Удалите старые локальные файлы сертификатов:
rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
rm -f /opt/apigee/apigee-mtls/certs/local_key.pemrm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pemrm -f /opt/apigee/apigee-mtls/source/certs/local_key.pemrm -rf /opt/apigee/data/apigee-mtls - Скопируйте новую пару сертификат/ключ, созданную на первом этапе, в следующие папки и обновите разрешения:
cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pemcp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemcp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemcp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem - Перезапустите
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Перезапустите все основные компоненты Apigee:
/opt/apigee/apigee-service/bin/apigee-all start
См. Запуск/остановка/проверка всех компонентов .