Trang này mô tả các nhiệm vụ bảo trì mTLS cần thực hiện thường xuyên.
Xoay vòng chứng chỉ cục bộ
Chứng chỉ cục bộ (được cài đặt trên từng máy chủ Apigee) cần được thay thế bằng chứng chỉ mới hằng năm. Đây được gọi là xoay vòng chứng chỉ. Có 2 cách để xoay vòng chứng chỉ, tuỳ thuộc vào việc bạn sử dụng tổ chức phát hành chứng chỉ tuỳ chỉnh hay chứng chỉ do Consul cài đặt.
Xoay vòng chứng chỉ cục bộ mà không có tổ chức phát hành chứng chỉ (CA) tuỳ chỉnh
Cách đơn giản nhất để xoay vòng các chứng chỉ mà không cần CA tuỳ chỉnh là
gỡ cài đặt và
cài đặt lại apigee-mtls.
Thao tác này sẽ xoá tất cả chứng chỉ cũ hiện có và tạo các chứng chỉ mới cục bộ.
Bạn có thể thực hiện việc này với thời gian ngừng hoạt động tối thiểu bằng cách thực hiện từng lệnh sau trên từng máy chủ lưu trữ:
Lưu ý: Thao tác này giả định cùng một tệp silent.conf được dùng trong lần cài đặt ban đầu.
- Dừng tất cả thành phần cốt lõi của Apigee:
/opt/apigee/apigee-service/bin/apigee-all stop
Xem Bắt đầu/dừng/kiểm tra tất cả thành phần. - Dừng
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- Gỡ cài đặt
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall
- Cài đặt lại
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls install
- Chạy
apigee-mtls setup:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf
- Khởi động lại
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Khởi động lại tất cả các thành phần cốt lõi của Apigee:
/opt/apigee/apigee-service/bin/apigee-all start
Xem Bắt đầu/dừng/kiểm tra tất cả các thành phần.
Xoay vòng chứng chỉ cục bộ thông qua tổ chức phát hành chứng chỉ (CA) tuỳ chỉnh
Để xoay vòng chứng chỉ cục bộ với CA tuỳ chỉnh, hãy làm theo các bước sau:
- Làm theo các bước trong phần Sử dụng chứng chỉ tuỳ chỉnh để tạo các chứng chỉ mới mà bạn sẽ sử dụng.
- Dừng tất cả thành phần cốt lõi của Apigee:
/opt/apigee/apigee-service/bin/apigee-all stop
Xem Bắt đầu/dừng/kiểm tra tất cả thành phần. - Dừng
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- Xoá các tệp chứng chỉ cục bộ cũ:
rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
rm -f /opt/apigee/apigee-mtls/certs/local_key.pemrm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pemrm -f /opt/apigee/apigee-mtls/source/certs/local_key.pemrm -rf /opt/apigee/data/apigee-mtls - Sao chép cặp chứng chỉ/khoá mới được tạo ở bước đầu tiên vào các vị trí sau và cập nhật quyền:
cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pemcp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemcp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemcp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem - Khởi động lại
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Khởi động lại tất cả các thành phần cốt lõi của Apigee:
/opt/apigee/apigee-service/bin/apigee-all start
Xem Bắt đầu/dừng/kiểm tra tất cả các thành phần.