このページでは、定期的に実行する必要がある Apigee mTLS のメンテナンス タスクについて説明します。
ローカル証明書のローテーション
各 Apigee ホストにインストールされているローカル証明書は、新しい証明書に置き換える必要があります。 毎年更新していますこれを証明書のローテーションと呼びます。証明書をローテーションする方法は 2 つあります。 Kubernetes の カスタム認証局を使用している Consul によってインストールされた証明書です。
カスタム認証局(CA)を使用しないローカル証明書のローテーション
カスタムの CA を使用せずに証明書をローテーションする最も簡単な方法は、
uninstall、
apigee-mtls を再インストールします。
これにより、存在する古い証明書がすべて削除され、新しい証明書がローカルで生成されます。
各ホストで次のコマンドを実行すると、最小限のダウンタイムでこれを実現できます。
1 つずつ作成します。
注: これは、前のステップで使用されたものと同じ silent.conf ファイルを
行います。
- すべての Apigee コアコンポーネントを停止します。
/opt/apigee/apigee-service/bin/apigee-all stop
apigee-mtlsを停止します。/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
apigee-mtlsをアンインストールします。/opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall
apigee-mtlsを再インストールします。/opt/apigee/apigee-service/bin/apigee-service apigee-mtls install
apigee-mtls setupを実行します。/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf
apigee-mtlsを再起動します。/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- すべての Apigee コアコンポーネントを再起動します。
/opt/apigee/apigee-service/bin/apigee-all start
カスタム認証局(CA)を使用したローカル証明書のローテーション
カスタム CA を使用してローカル証明書をローテーションするには、次の操作を行います。
- カスタム証明書を使用するの手順に沿って操作します。 使用する新しい証明書を生成します。
- すべての Apigee コアコンポーネントを停止します。
/opt/apigee/apigee-service/bin/apigee-all stop
apigee-mtlsを停止します。/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- 古いローカル証明書ファイルを削除します。
rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
rm -f /opt/apigee/apigee-mtls/certs/local_key.pemrm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pemrm -f /opt/apigee/apigee-mtls/source/certs/local_key.pemrm -rf /opt/apigee/data/apigee-mtls - 最初の手順で生成した新しい証明書と鍵のペアを次の場所にコピーします。
権限を更新します。
cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pemcp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemcp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemcp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem apigee-mtlsを再起動します。/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- すべての Apigee コアコンポーネントを再起動します。
/opt/apigee/apigee-service/bin/apigee-all start