Maintenance mTLS d'Apigee

Cette page décrit les tâches de maintenance mTLS d'Apigee qui doivent être effectuées régulièrement.

Effectuer une rotation des certificats locaux

Les certificats locaux, qui sont installés sur chaque hôte Apigee, doivent être remplacés par de nouveaux une fois par an. C'est ce qu'on appelle la rotation des certificats. Il existe deux façons d'alterner les certificats : selon que vous utilisez une autorité de certification personnalisée ; ou un certificat installé par Consul.

Effectuer une rotation des certificats locaux sans autorité de certification personnalisée

Le moyen le plus simple d'effectuer une rotation des certificats sans autorité de certification personnalisée est de désinstaller et réinstallez apigee-mtls. Cette opération supprime tous les anciens certificats présents et génère de nouveaux certificats localement. Vous pouvez le faire avec un temps d’arrêt minimal en exécutant les commandes suivantes sur chaque hôte : un par un:

Remarque:Cela suppose que le même fichier silent.conf que celui utilisé pour l'attribut l'installation initiale est présente.

1. Arrêtez tous les composants de base d'Apigee:

   /opt/apigee/apigee-service/bin/apigee-all stop

   Voir <ph type="x-smartling-placeholder"></ph> Démarrez/Arrêtez/Vérifiez tous les composants.
2. Arrêtez apigee-mtls:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop

3. Désinstaller apigee-mtls:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall

4. Réinstallez apigee-mtls:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls install

5. Exécutez apigee-mtls setup:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf

6. Redémarrez apigee-mtls:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls start

7. Redémarrez tous les composants principaux d'Apigee:

   /opt/apigee/apigee-service/bin/apigee-all start

   Voir <ph type="x-smartling-placeholder"></ph> Démarrez/Arrêtez/Vérifiez tous les composants.

Effectuer une rotation des certificats locaux avec une autorité de certification personnalisée

Pour alterner des certificats locaux avec une autorité de certification personnalisée, procédez comme suit:

1. Suivez la procédure décrite dans Utiliser un certificat personnalisé. pour générer les nouveaux certificats que vous utiliserez.
2. Arrêtez tous les composants de base d'Apigee:

   /opt/apigee/apigee-service/bin/apigee-all stop

   Voir <ph type="x-smartling-placeholder"></ph> Démarrez/Arrêtez/Vérifiez tous les composants.
3. Arrêtez apigee-mtls:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop

4. Supprimez les anciens fichiers de certificat locaux:

   rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
   rm -f /opt/apigee/apigee-mtls/certs/local_key.pem
   rm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   rm -f /opt/apigee/apigee-mtls/source/certs/local_key.pem
   rm -rf /opt/apigee/data/apigee-mtls

5. Copiez la nouvelle paire certificat/clé générée à la première étape aux emplacements suivants : modifier les autorisations:

   cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/certs/local_cert.pem
   
   cp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   cp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   cp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem

6. Redémarrez apigee-mtls:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls start

7. Redémarrez tous les composants principaux d'Apigee:

   /opt/apigee/apigee-service/bin/apigee-all start

   Voir <ph type="x-smartling-placeholder"></ph> Démarrez/Arrêtez/Vérifiez tous les composants.