本页面介绍需要定期执行的 Apigee mTLS 维护任务。
轮替本地证书
安装在每个 Apigee 主机上的本地证书需要替换为新的 。这称为证书轮替。轮替证书的方法有两种: 具体取决于 您使用的是自定义证书授权机构,或者 一个由 Consul 安装的证书。
在没有自定义证书授权机构 (CA) 的情况下轮替本地证书
如需在没有自定义 CA 的情况下轮替证书,最简单的方法是
卸载和
重新安装 apigee-mtls。
这将移除现有的所有旧证书,并在本地生成新的证书。
您可以在每个主机上运行以下命令,在最短的停机时间内执行此操作,
一次一个:
注意:此示例假设 silent.conf 文件与
存在初始安装。
- 停止所有核心 Apigee 组件:
/opt/apigee/apigee-service/bin/apigee-all stop
- 停止
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- 卸载
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall
- 重新安装
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls install
- 运行
apigee-mtls setup:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf
- 重启
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- 重启所有核心 Apigee 组件:
/opt/apigee/apigee-service/bin/apigee-all start
使用自定义证书授权机构 (CA) 轮替本地证书
如需轮替具有自定义 CA 的本地证书,请执行以下步骤:
- 请按照使用自定义证书中的步骤操作 生成您要使用的新证书
- 停止所有核心 Apigee 组件:
/opt/apigee/apigee-service/bin/apigee-all stop
- 停止
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- 移除旧的本地证书文件:
rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
rm -f /opt/apigee/apigee-mtls/certs/local_key.pemrm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pemrm -f /opt/apigee/apigee-mtls/source/certs/local_key.pemrm -rf /opt/apigee/data/apigee-mtls - 将第一步中生成的新证书/密钥对复制到以下位置,并
更新权限:
cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pemcp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemcp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemcp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem - 重启
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- 重启所有核心 Apigee 组件:
/opt/apigee/apigee-service/bin/apigee-all start