Na tej stronie opisujemy zadania konserwacji mTLS Apigee, które należy regularnie wykonywać.
Rotacja certyfikatów lokalnych
Certyfikaty lokalne, które są instalowane na każdym hoście Apigee, należy zastąpić nowymi co roku. Jest to tzw. rotacja certyfikatów. Istnieją 2 sposoby rotacji certyfikatów: w zależności od tego, używasz niestandardowego urzędu certyfikacji, certyfikat zainstalowany przez Consul.
Rotacja certyfikatów lokalnych bez niestandardowego urzędu certyfikacji
Najprostszym sposobem rotacji certyfikatów bez niestandardowego urzędu certyfikacji jest
odinstaluj oraz
ponownie zainstaluj apigee-mtls.
Spowoduje to usunięcie wszystkich starych certyfikatów i wygenerowanie lokalnie nowych certyfikatów.
Możesz to zrobić przy minimalnym czasie przestoju, wykonując następujące polecenia na każdym hoście:
pojedynczo:
Uwaga: zakładamy, że jest to ten sam plik silent.conf, który był używany w przypadku
obecna jest instalacja początkowa.
- Zatrzymaj wszystkie podstawowe komponenty Apigee:
/opt/apigee/apigee-service/bin/apigee-all stop
- Zatrzymaj
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- Odinstaluj aplikację
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall
- Ponownie zainstaluj
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls install
- Uruchomienie
apigee-mtls setup:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf
- Uruchom ponownie
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Uruchom ponownie wszystkie podstawowe komponenty Apigee:
/opt/apigee/apigee-service/bin/apigee-all start
Rotacja certyfikatów lokalnych z niestandardowym urzędem certyfikacji (CA)
Aby przeprowadzić rotację certyfikatów lokalnych z niestandardowym urzędem certyfikacji, wykonaj te czynności:
- Wykonaj czynności opisane w artykule Używanie certyfikatu niestandardowego. aby wygenerować nowe certyfikaty, których będziesz używać.
- Zatrzymaj wszystkie podstawowe komponenty Apigee:
/opt/apigee/apigee-service/bin/apigee-all stop
- Zatrzymaj
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- Usuń stare pliki lokalnych certyfikatów:
rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
rm -f /opt/apigee/apigee-mtls/certs/local_key.pemrm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pemrm -f /opt/apigee/apigee-mtls/source/certs/local_key.pemrm -rf /opt/apigee/data/apigee-mtls - Skopiuj nowy certyfikat/parę kluczy wygenerowaną w pierwszym kroku do tych lokalizacji.
zaktualizuj uprawnienia:
cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pemcp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemcp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemcp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem - Uruchom ponownie
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Uruchom ponownie wszystkie podstawowe komponenty Apigee:
/opt/apigee/apigee-service/bin/apigee-all start