หน้านี้อธิบายงานบำรุงรักษา mTLS ของ Apigee ที่ต้องทำเป็นประจำ
การหมุนเวียนใบรับรองในเครื่อง
ใบรับรองในเครื่องซึ่งติดตั้งไว้ในแต่ละโฮสต์ Apigee แต่ละรายการจะต้องแทนที่ด้วยใบรับรองใหม่ทุกปี ซึ่งเรียกว่าการหมุนเวียนใบรับรอง การหมุนเวียนใบรับรองทำได้ 2 วิธี ขึ้นอยู่กับว่าคุณใช้ผู้ออกใบรับรองที่กำหนดเอง หรือใบรับรองที่ติดตั้งโดยกงสุล
การหมุนเวียนใบรับรองในเครื่องโดยไม่มีผู้ออกใบรับรองที่กำหนดเอง (CA)
วิธีที่ง่ายที่สุดในการหมุนเวียนใบรับรองโดยไม่ใช้ CA ที่กำหนดเองคือ
ถอนการติดตั้งแล้ว
ติดตั้งอีกครั้ง apigee-mtls
การดำเนินการนี้จะนำใบรับรองเก่าทั้งหมดออกและสร้างใบรับรองใหม่ไว้ในเครื่อง
ซึ่งทำได้โดยมีช่วงพักน้อยที่สุดด้วยการใช้คำสั่งต่อไปนี้ในแต่ละโฮสต์ ทีละคำสั่ง
หมายเหตุ: โดยสมมติว่ามีไฟล์ silent.conf
เดียวกันกับที่ใช้สำหรับการติดตั้งครั้งแรก
- หยุดคอมโพเนนต์หลักของ Apigee ทั้งหมด ดังนี้
/opt/apigee/apigee-service/bin/apigee-all stop
ดู เริ่ม/หยุด/ตรวจสอบคอมโพเนนต์ทั้งหมด - หยุด
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- ถอนการติดตั้ง
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall
- ติดตั้ง
apigee-mtls
อีกครั้ง:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls install
- เรียกใช้
apigee-mtls setup
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf
- รีสตาร์ท
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- รีสตาร์ทคอมโพเนนต์หลักของ Apigee ทั้งหมด ดังนี้
/opt/apigee/apigee-service/bin/apigee-all start
โปรดดูหัวข้อ เริ่ม/หยุด/ตรวจสอบคอมโพเนนต์ทั้งหมด
การหมุนเวียนใบรับรองในเครื่องกับผู้ออกใบรับรองที่กำหนดเอง (CA)
หากต้องการหมุนเวียนใบรับรองในเครื่องด้วย CA ที่กำหนดเอง ให้ทำตามขั้นตอนต่อไปนี้
- ทำตามขั้นตอนในหัวข้อใช้ใบรับรองที่กำหนดเองเพื่อสร้างใบรับรองใหม่ที่จะใช้
- หยุดคอมโพเนนต์หลักของ Apigee ทั้งหมด ดังนี้
/opt/apigee/apigee-service/bin/apigee-all stop
ดู เริ่ม/หยุด/ตรวจสอบคอมโพเนนต์ทั้งหมด - หยุด
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- นำไฟล์ใบรับรองเก่าในเครื่องออก:
rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
rm -f /opt/apigee/apigee-mtls/certs/local_key.pem
rm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pem
rm -f /opt/apigee/apigee-mtls/source/certs/local_key.pem
rm -rf /opt/apigee/data/apigee-mtls
- คัดลอกคู่ใบรับรอง/คีย์ใหม่ที่สร้างขึ้นในขั้นตอนแรกไปยังตำแหน่งต่อไปนี้ แล้วอัปเดตสิทธิ์:
cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pem
cp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
cp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
cp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
- รีสตาร์ท
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- รีสตาร์ทคอมโพเนนต์หลักของ Apigee ทั้งหมด ดังนี้
/opt/apigee/apigee-service/bin/apigee-all start
โปรดดูหัวข้อ เริ่ม/หยุด/ตรวจสอบคอมโพเนนต์ทั้งหมด