Questa pagina descrive le attività di manutenzione di Apigee mTLS che devono essere eseguite regolarmente.
Rotazione dei certificati locali
I certificati locali, che vengono installati su ogni host Apigee, devono essere sostituiti con nuovi quelli annuali. Questa operazione si chiama rotazione dei certificati. Esistono due modi per ruotare i certificati: in base a se stai utilizzando un'autorità di certificazione personalizzata, oppure un certificato installato da Consul.
Rotazione dei certificati locali senza un'autorità di certificazione personalizzata
Il modo più semplice per ruotare i certificati senza una CA personalizzata è
Disinstalla e
reinstalla apigee-mtls
.
In questo modo vengono rimossi tutti i certificati precedenti e vengono generati nuovi certificati localmente.
Puoi farlo con tempi di inattività minimi eseguendo i seguenti comandi su ciascun host:
uno alla volta:
Nota: questa opzione presuppone che sia stato utilizzato lo stesso file silent.conf
utilizzato per
sia presente l'installazione iniziale.
- Arresta tutti i componenti principali di Apigee:
Consulta Avvia/interrompi/controlla tutti i componenti./opt/apigee/apigee-service/bin/apigee-all stop
- Interrompi
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- Disinstalla
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall
- Reinstalla
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls install
- Corsa di
apigee-mtls setup
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf
- Riavvia
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Riavvia tutti i componenti principali di Apigee:
Consulta Avvia/interrompi/controlla tutti i componenti./opt/apigee/apigee-service/bin/apigee-all start
Rotazione dei certificati locali con un'autorità di certificazione (CA) personalizzata
Per ruotare i certificati locali con una CA personalizzata:
- Segui i passaggi descritti in Utilizzare un certificato personalizzato. per generare i nuovi certificati che utilizzerai.
- Arresta tutti i componenti principali di Apigee:
Consulta Avvia/interrompi/controlla tutti i componenti./opt/apigee/apigee-service/bin/apigee-all stop
- Interrompi
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- Rimuovi i file dei certificati locali precedenti:
rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
rm -f /opt/apigee/apigee-mtls/certs/local_key.pem
rm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pem
rm -f /opt/apigee/apigee-mtls/source/certs/local_key.pem
rm -rf /opt/apigee/data/apigee-mtls
- Copia la nuova coppia di certificato/chiave generata nel primo passaggio nelle posizioni seguenti e
aggiorna autorizzazioni:
cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pem
cp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
cp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
cp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
- Riavvia
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Riavvia tutti i componenti principali di Apigee:
Consulta Avvia/interrompi/controlla tutti i componenti./opt/apigee/apigee-service/bin/apigee-all start