Apigee mTLS-Wartung

Auf dieser Seite werden Apigee mTLS-Wartungsaufgaben beschrieben, die regelmäßig ausgeführt werden müssen.

Lokale Zertifikate rotieren

Lokale Zertifikate, die auf jedem Apigee-Host installiert sind, müssen durch neue ersetzt werden. . Dies wird als Zertifikatrotation bezeichnet. Es gibt zwei Möglichkeiten, Zertifikate zu rotieren: je nachdem, ob Sie eine benutzerdefinierte Zertifizierungsstelle verwenden oder ein von Consul installiertes Zertifikat.

Lokale Zertifikate ohne benutzerdefinierte Zertifizierungsstelle rotieren

Die einfachste Möglichkeit, Zertifikate ohne benutzerdefinierte Zertifizierungsstelle zu rotieren, ist die Deinstallieren und Installieren Sie apigee-mtls neu. Dadurch werden alle vorhandenen Zertifikate entfernt und lokal neue Zertifikate generiert. Das erreichen Sie mit minimaler Ausfallzeit, indem Sie die folgenden Befehle auf jedem Host ausführen: eines nach dem anderen:

Hinweis:Hierbei wird von derselben silent.conf-Datei ausgegangen, die für den vorhanden ist.

1. Beenden Sie alle Apigee-Kernkomponenten:

   /opt/apigee/apigee-service/bin/apigee-all stop

   Weitere Informationen finden Sie unter <ph type="x-smartling-placeholder"></ph> Starten/Stoppen/prüfen Sie alle Komponenten.
2. apigee-mtls beenden:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop

3. apigee-mtls deinstallieren:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall

4. Installieren Sie apigee-mtls neu:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls install

5. Führen Sie apigee-mtls setup aus:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf

6. Starten Sie apigee-mtls neu:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls start

7. Starten Sie alle Apigee-Kernkomponenten neu:

   /opt/apigee/apigee-service/bin/apigee-all start

   Weitere Informationen finden Sie unter <ph type="x-smartling-placeholder"></ph> Starten/Stoppen/prüfen Sie alle Komponenten.

Lokale Zertifikate mit einer benutzerdefinierten Zertifizierungsstelle rotieren

So rotieren Sie lokale Zertifikate mit einer benutzerdefinierten Zertifizierungsstelle:

1. Folgen Sie der Anleitung unter Benutzerdefiniertes Zertifikat verwenden. um die neuen Zertifikate zu generieren, die Sie verwenden möchten.
2. Beenden Sie alle Apigee-Kernkomponenten:

   /opt/apigee/apigee-service/bin/apigee-all stop

   Weitere Informationen finden Sie unter <ph type="x-smartling-placeholder"></ph> Starten/Stoppen/prüfen Sie alle Komponenten.
3. apigee-mtls beenden:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop

4. Entfernen Sie die alten lokalen Zertifikatsdateien:

   rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
   rm -f /opt/apigee/apigee-mtls/certs/local_key.pem
   rm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   rm -f /opt/apigee/apigee-mtls/source/certs/local_key.pem
   rm -rf /opt/apigee/data/apigee-mtls

5. Kopieren Sie das neue Zertifikat/Schlüsselpaar, das im ersten Schritt generiert wurde, an die folgenden Speicherorte: Berechtigungen aktualisieren:

   cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/certs/local_cert.pem
   
   cp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   cp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   cp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem

6. Starten Sie apigee-mtls neu:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls start

7. Starten Sie alle Apigee-Kernkomponenten neu:

   /opt/apigee/apigee-service/bin/apigee-all start

   Weitere Informationen finden Sie unter <ph type="x-smartling-placeholder"></ph> Starten/Stoppen/prüfen Sie alle Komponenten.