En esta página, se describen las tareas de mantenimiento de mTLS de Apigee que se deben realizar con regularidad.
Rotar certificados locales
Los certificados locales, instalados en cada host de Apigee, deben reemplazarse por al año. Esto se denomina rotación de certificados. Existen dos formas de rotar los certificados: dependiendo de si Debes usar una autoridad certificadora personalizada. un certificado instalado por Consul.
Rotar certificados locales sin una autoridad certificadora (AC) personalizada
La forma más sencilla de rotar certificados sin una AC personalizada es
Desinstalar y
vuelve a instalar apigee-mtls.
Esto quitará todos los certificados antiguos presentes y generará certificados nuevos de forma local.
Puede hacerlo con un tiempo de inactividad mínimo. Para ello, ejecute los siguientes comandos en cada host:
de a una por vez:
Nota: Si se supone que se trata del mismo archivo silent.conf que se usó para el
cuando haya una instalación inicial.
- Detén todos los componentes principales de Apigee:
/opt/apigee/apigee-service/bin/apigee-all stop
- Detén
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- Desinstala
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall
- Reinstala
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls install
- Ejecuta
apigee-mtls setup:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf
- Reinicia
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Reinicia todos los componentes principales de Apigee:
/opt/apigee/apigee-service/bin/apigee-all start
Rotar certificados locales con una autoridad certificadora (AC) personalizada
Para rotar certificados locales con una AC personalizada, sigue estos pasos:
- Sigue los pasos que se indican en Cómo usar un certificado personalizado. para generar los nuevos certificados que usarás.
- Detén todos los componentes principales de Apigee:
/opt/apigee/apigee-service/bin/apigee-all stop
- Detén
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- Quita los archivos de certificado locales antiguos:
rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
rm -f /opt/apigee/apigee-mtls/certs/local_key.pemrm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pemrm -f /opt/apigee/apigee-mtls/source/certs/local_key.pemrm -rf /opt/apigee/data/apigee-mtls - Copia el nuevo par de certificados/claves generado en el primer paso en las siguientes ubicaciones.
actualizar permisos:
cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pemcp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemcp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemcp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem - Reinicia
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Reinicia todos los componentes principales de Apigee:
/opt/apigee/apigee-service/bin/apigee-all start