หน้านี้อธิบายงานการบำรุงรักษา Apigee mTLS ที่ต้องดำเนินการเป็นประจำ
การหมุนเวียนใบรับรองในเครื่อง
ใบรับรองในเครื่อง ซึ่งติดตั้งบนโฮสต์ Apigee แต่ละรายการจะต้องแทนที่ด้วยใบรับรองใหม่ ทุกปี ซึ่งเรียกว่าการหมุนเวียนใบรับรอง การหมุนเวียนใบรับรองมี 2 วิธี ได้แก่ ขึ้นอยู่กับว่า คุณใช้ผู้ออกใบรับรองที่กำหนดเอง หรือ ใบรับรองที่ติดตั้งโดย Consul
การหมุนเวียนใบรับรองในเครื่องโดยไม่มีผู้ออกใบรับรองที่กำหนดเอง (CA)
วิธีที่ง่ายที่สุดในการหมุนเวียนใบรับรองโดยไม่ใช้ CA ที่กำหนดเองคือ
uninstall และ
ติดตั้งอีกครั้ง apigee-mtls
การดำเนินการนี้จะนำใบรับรองเก่าทั้งหมดออกและสร้างใบรับรองใหม่ในเครื่อง
ซึ่งคุณสามารถทำได้โดยใช้ช่วงพักน้อยที่สุดโดยเรียกใช้คำสั่งต่อไปนี้กับแต่ละโฮสต์
ทีละรายการ:
หมายเหตุ: จะถือว่าเป็นไฟล์ silent.conf เดียวกับที่ใช้สำหรับพร็อพเพอร์ตี้
คือการติดตั้งครั้งแรก
- หยุดคอมโพเนนต์หลักของ Apigee ทั้งหมดดังนี้
/opt/apigee/apigee-service/bin/apigee-all stop
- หยุด
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- ถอนการติดตั้ง
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall
- ติดตั้ง
apigee-mtlsอีกครั้ง:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls install
- เรียกใช้
apigee-mtls setup:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf
- รีสตาร์ท
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- รีสตาร์ทคอมโพเนนต์หลักของ Apigee ทั้งหมดดังนี้
/opt/apigee/apigee-service/bin/apigee-all start
การหมุนเวียนใบรับรองในพื้นที่กับผู้ออกใบรับรองที่กำหนดเอง (CA)
ในการหมุนเวียนใบรับรองในเครื่องด้วย CA ที่กำหนดเอง ให้ทำตามขั้นตอนต่อไปนี้
- ทำตามขั้นตอนในหัวข้อใช้ใบรับรองที่กำหนดเอง เพื่อสร้างใบรับรองใหม่ที่คุณจะใช้
- หยุดคอมโพเนนต์หลักของ Apigee ทั้งหมดดังนี้
/opt/apigee/apigee-service/bin/apigee-all stop
- หยุด
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- นำไฟล์ใบรับรองในเครื่องไฟล์เก่าออกดังนี้
rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
rm -f /opt/apigee/apigee-mtls/certs/local_key.pemrm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pemrm -f /opt/apigee/apigee-mtls/source/certs/local_key.pemrm -rf /opt/apigee/data/apigee-mtls - คัดลอกคู่คีย์/ใบรับรองใหม่ที่สร้างขึ้นในขั้นตอนแรกลงในตำแหน่งต่อไปนี้ และ
อัปเดตการอนุญาต:
cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pemcp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemcp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemcp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem - รีสตาร์ท
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- รีสตาร์ทคอมโพเนนต์หลักของ Apigee ทั้งหมดดังนี้
/opt/apigee/apigee-service/bin/apigee-all start