Nesta página, descrevemos as tarefas de manutenção de mTLS da Apigee que precisam ser executadas regularmente.
Como fazer a rotação de certificados locais
Os certificados locais instalados em cada host da Apigee precisam ser substituídos por novos anualmente. Isso é chamado de rotação de certificado. Há duas maneiras de fazer isso: dependendo se você está usando uma autoridade de certificação personalizada, ou um certificado instalado pelo Consul.
Como fazer a rotação de certificados locais sem uma autoridade de certificação (AC) personalizada
A maneira mais simples de fazer a rotação de certificados sem uma CA personalizada é
desinstalar e
reinstale apigee-mtls.
Isso remove todos os certificados antigos e gera novos certificados localmente.
É possível fazer isso com tempo de inatividade mínimo executando os seguintes comandos em cada host,
uma de cada vez:
Observação:isso pressupõe que o mesmo arquivo silent.conf que foi usado para o
quando a instalação inicial está presente.
- Interrompa todos os componentes principais da Apigee:
/opt/apigee/apigee-service/bin/apigee-all stop
- Parar
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- Desinstale o
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall
- Reinstale o
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls install
- Execute
apigee-mtls setup:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf
- Restart
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Reinicie todos os componentes principais da Apigee:
/opt/apigee/apigee-service/bin/apigee-all start
Como fazer a rotação de certificados locais com uma autoridade de certificação (AC) personalizada
Para alternar certificados locais com uma AC personalizada, siga estas etapas:
- Siga as etapas em Usar um certificado personalizado. para gerar os novos certificados que você usará.
- Interrompa todos os componentes principais da Apigee:
/opt/apigee/apigee-service/bin/apigee-all stop
- Parar
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- Remova os arquivos de certificado local antigos:
rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
rm -f /opt/apigee/apigee-mtls/certs/local_key.pemrm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pemrm -f /opt/apigee/apigee-mtls/source/certs/local_key.pemrm -rf /opt/apigee/data/apigee-mtls - Copie o novo par de certificado/chave gerado na primeira etapa nos seguintes locais e
permissões de atualização:
cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pemcp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemcp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemcp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem - Restart
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Reinicie todos os componentes principais da Apigee:
/opt/apigee/apigee-service/bin/apigee-all start