Apigee mTLS 維護

本頁說明需要定期執行的 Apigee mTLS 維護工作。

輪替本機憑證

安裝在各 Apigee 主機上的本機憑證，每年都必須替換為新的憑證。這稱為憑證輪替。視您使用的是自訂憑證授權單位，還是 Consul 安裝的憑證而定，有兩種方法可以輪替憑證。

在沒有自訂憑證授權單位 (CA) 的情況下輪替本機憑證

如要在不自訂 CA 的情況下輪替憑證，最簡單的方法就是解除安裝並重新安裝 apigee-mtls。這項操作會移除現有的所有舊憑證，並在本機產生新憑證。您可以在每個主機逐一執行下列指令，以便在最短的停機時間內執行此操作：

注意：這假設有一個用於初次安裝所用的 silent.conf 檔案。

1. 停止所有 Apigee 核心元件：

   /opt/apigee/apigee-service/bin/apigee-all stop

   請參閱 啟動/停止/檢查所有元件。
2. 停止 apigee-mtls：

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop

3. 解除安裝「apigee-mtls」：

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall

4. 重新安裝 apigee-mtls：

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls install

5. 執行 apigee-mtls setup：

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf

6. 重新啟動 apigee-mtls：

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls start

7. 重新啟動所有 Apigee 核心元件：

   /opt/apigee/apigee-service/bin/apigee-all start

   請參閱 啟動/停止/檢查所有元件。

透過自訂憑證授權單位 (CA) 輪替本機憑證

如要透過自訂 CA 輪替本機憑證，請按照下列步驟操作：

1. 請按照「使用自訂憑證」一節中的步驟，產生您要使用的新憑證。
2. 停止所有 Apigee 核心元件：

   /opt/apigee/apigee-service/bin/apigee-all stop

   請參閱 啟動/停止/檢查所有元件。
3. 停止 apigee-mtls：

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop

4. 移除舊的本機憑證檔案：

   rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
   rm -f /opt/apigee/apigee-mtls/certs/local_key.pem
   rm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   rm -f /opt/apigee/apigee-mtls/source/certs/local_key.pem
   rm -rf /opt/apigee/data/apigee-mtls

5. 將第一個步驟中產生的新憑證/金鑰組複製到下列位置，然後更新權限：

   cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/certs/local_cert.pem
   
   cp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   cp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   cp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem

6. 重新啟動 apigee-mtls：

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls start

7. 重新啟動所有 Apigee 核心元件：

   /opt/apigee/apigee-service/bin/apigee-all start

   請參閱 啟動/停止/檢查所有元件。