Auf dieser Seite werden Apigee mTLS-Wartungsaufgaben beschrieben, die regelmäßig ausgeführt werden müssen.
Lokale Zertifikate rotieren
Lokale Zertifikate, die auf jedem Apigee-Host installiert sind, müssen durch neue ersetzt werden. . Dies wird als Zertifikatrotation bezeichnet. Es gibt zwei Möglichkeiten, Zertifikate zu rotieren: je nachdem, ob Sie eine benutzerdefinierte Zertifizierungsstelle verwenden oder ein von Consul installiertes Zertifikat.
Lokale Zertifikate ohne benutzerdefinierte Zertifizierungsstelle rotieren
Die einfachste Möglichkeit, Zertifikate ohne benutzerdefinierte Zertifizierungsstelle zu rotieren, ist die
Deinstallieren und
Installieren Sie apigee-mtls neu.
Dadurch werden alle vorhandenen Zertifikate entfernt und lokal neue Zertifikate generiert.
Das erreichen Sie mit minimaler Ausfallzeit, indem Sie die folgenden Befehle auf jedem Host ausführen:
eines nach dem anderen:
Hinweis:Hierbei wird von derselben silent.conf-Datei ausgegangen, die für den
vorhanden ist.
- Beenden Sie alle Apigee-Kernkomponenten:
/opt/apigee/apigee-service/bin/apigee-all stop
apigee-mtlsbeenden:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
apigee-mtlsdeinstallieren:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall
- Installieren Sie
apigee-mtlsneu:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls install
- Führen Sie
apigee-mtls setupaus./opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf
- Starten Sie
apigee-mtlsneu:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Starten Sie alle Apigee-Kernkomponenten neu:
/opt/apigee/apigee-service/bin/apigee-all start
Lokale Zertifikate mit einer benutzerdefinierten Zertifizierungsstelle rotieren
So rotieren Sie lokale Zertifikate mit einer benutzerdefinierten Zertifizierungsstelle:
- Folgen Sie der Anleitung unter Benutzerdefiniertes Zertifikat verwenden. um die neuen Zertifikate zu generieren, die Sie verwenden möchten.
- Beenden Sie alle Apigee-Kernkomponenten:
/opt/apigee/apigee-service/bin/apigee-all stop
apigee-mtlsbeenden:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- Entfernen Sie die alten lokalen Zertifikatsdateien:
rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
rm -f /opt/apigee/apigee-mtls/certs/local_key.pemrm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pemrm -f /opt/apigee/apigee-mtls/source/certs/local_key.pemrm -rf /opt/apigee/data/apigee-mtls - Kopieren Sie das neue Zertifikat/Schlüsselpaar, das im ersten Schritt generiert wurde, an die folgenden Speicherorte:
Berechtigungen aktualisieren:
cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pemcp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemcp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemcp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem - Starten Sie
apigee-mtlsneu:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Starten Sie alle Apigee-Kernkomponenten neu:
/opt/apigee/apigee-service/bin/apigee-all start