Auf dieser Seite werden Apigee mTLS-Wartungsaufgaben beschrieben, die regelmäßig ausgeführt werden müssen.
Lokale Zertifikate rotieren
Lokale Zertifikate, die auf jedem Apigee-Host installiert sind, müssen jährlich durch neue ersetzt werden. Dies wird als Zertifikatsrotation bezeichnet. Es gibt zwei Möglichkeiten, Zertifikate zu rotieren, je nachdem, ob Sie eine benutzerdefinierte Zertifizierungsstelle oder ein von Consul installiertes Zertifikat verwenden.
Lokale Zertifikate ohne benutzerdefinierte Zertifizierungsstelle rotieren
Am einfachsten lassen sich Zertifikate ohne eine benutzerdefinierte Zertifizierungsstelle rotieren, indem Sie apigee-mtls
deinstallieren und neu installieren.
Dadurch werden alle vorhandenen alten Zertifikate entfernt und neue lokal generiert.
Sie können dies mit minimaler Ausfallzeit tun, indem Sie nacheinander auf jedem Host die folgenden Befehle ausführen:
Hinweis: Dabei wird davon ausgegangen, dass dieselbe silent.conf
-Datei vorhanden ist, die für die Erstinstallation verwendet wurde.
- Stoppen Sie alle Apigee-Kernkomponenten:
/opt/apigee/apigee-service/bin/apigee-all stop
Weitere Informationen finden Sie unter Alle Komponenten starten/stoppen/prüfen. apigee-mtls
anhalten:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
apigee-mtls
deinstallieren:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall
apigee-mtls
neu installieren:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls install
- Führen Sie
apigee-mtls setup
aus:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf
- Starten Sie
apigee-mtls
neu:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Starten Sie alle Apigee-Kernkomponenten neu:
/opt/apigee/apigee-service/bin/apigee-all start
Weitere Informationen finden Sie unter Alle Komponenten starten/stoppen/prüfen.
Lokale Zertifikate mit einer benutzerdefinierten Zertifizierungsstelle rotieren
So rotieren Sie lokale Zertifikate mit einer benutzerdefinierten Zertifizierungsstelle:
- Folgen Sie der Anleitung unter Benutzerdefiniertes Zertifikat verwenden, um die neu verwendeten Zertifikate zu generieren.
- Stoppen Sie alle Apigee-Kernkomponenten:
/opt/apigee/apigee-service/bin/apigee-all stop
Weitere Informationen finden Sie unter Alle Komponenten starten/stoppen/prüfen. - Haltestelle
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- Entfernen Sie die alten lokalen Zertifikatsdateien:
rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
rm -f /opt/apigee/apigee-mtls/certs/local_key.pem
rm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pem
rm -f /opt/apigee/apigee-mtls/source/certs/local_key.pem
rm -rf /opt/apigee/data/apigee-mtls
- Kopieren Sie das neue Zertifikat/Schlüsselpaar, das im ersten Schritt generiert wurde, an die folgenden Speicherorte und aktualisieren Sie die Berechtigungen:
cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pem
cp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
cp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
cp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
apigee-mtls
neu starten:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Starten Sie alle Apigee-Kernkomponenten neu:
/opt/apigee/apigee-service/bin/apigee-all start
Weitere Informationen finden Sie unter Alle Komponenten starten/stoppen/prüfen.