תחזוקת Apigee mTLS

בדף הזה מתוארות משימות תחזוקה של mTLS ל-Apigee שצריך לבצע באופן קבוע.

החלפת אישורים מקומיים

צריך להחליף אישורים מקומיים, שמותקנים בכל מארח של Apigee, אחת לשנה. התהליך הזה נקרא סבב של אישורים. יש שתי דרכים להחליף אישורים: בהתאם אתם משתמשים ברשות אישורים מותאמת אישית, או באישור שהותקן על ידי Consul.

החלפת אישורים מקומיים ללא רשות אישורים מותאמת אישית (CA)

הדרך הפשוטה ביותר להחליף אישורים ללא רשות אישורים מותאמת אישית היא להסיר את ההתקנה וגם התקן מחדש את apigee-mtls. הפעולה הזו מסירה את כל האישורים הישנים הקיימים, ומייצרת אישורים חדשים באופן מקומי. אפשר לעשות זאת עם זמן השבתה מינימלי על ידי ביצוע הפקודות הבאות בכל מארח: מילה אחת בכל פעם:

הערה: ההנחה היא שאותו קובץ silent.conf שבו נעשה שימוש תהליך ההתקנה הראשוני.

  1. הפסקת כל רכיבי הליבה של Apigee: 
    /opt/apigee/apigee-service/bin/apigee-all stop
    צפייה הפעלה/עצירה/בדיקה של כל הרכיבים.
  2. עצירת הפעולה של apigee-mtls: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
  3. הסרת ההתקנה של apigee-mtls: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall
  4. התקנה מחדש של apigee-mtls: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls install
  5. מריצים את apigee-mtls setup: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf
  6. מפעילים מחדש את apigee-mtls: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
  7. מפעילים מחדש את כל רכיבי הליבה של Apigee: 
    /opt/apigee/apigee-service/bin/apigee-all start
    צפייה הפעלה/עצירה/בדיקה של כל הרכיבים.

החלפת אישורים מקומיים באמצעות רשות אישורים מותאמת אישית (CA)

כדי להחליף אישורים מקומיים עם CA מותאם אישית, יש לבצע את השלבים הבאים:

  1. פועלים לפי השלבים שמפורטים בקטע שימוש באישור מותאם אישית. כדי ליצור את האישורים החדשים שבהם משתמשים.
  2. הפסקת כל רכיבי הליבה של Apigee: 
    /opt/apigee/apigee-service/bin/apigee-all stop
    צפייה הפעלה/עצירה/בדיקה של כל הרכיבים.
  3. עצירת הפעולה של apigee-mtls: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
  4. מסירים את קובצי האישורים המקומיים הישנים: 
    rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
rm -f /opt/apigee/apigee-mtls/certs/local_key.pem
rm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pem
rm -f /opt/apigee/apigee-mtls/source/certs/local_key.pem
rm -rf /opt/apigee/data/apigee-mtls
  5. מעתיקים את זוג האישור/המפתח החדש שנוצר בשלב הראשון למיקומים הבאים, וגם עדכון הרשאות: 
    cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pem

chmod \
  --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
  /opt/apigee/apigee-mtls/certs/local_cert.pem

chown \
  --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
  /opt/apigee/apigee-mtls/certs/local_cert.pem

cp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pem

chmod \
  --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
  /opt/apigee/apigee-mtls/source/certs/local_cert.pem

chown \
  --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
  /opt/apigee/apigee-mtls/source/certs/local_cert.pem

cp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pem

chmod \
  --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
  /opt/apigee/apigee-mtls/source/certs/local_cert.pem

chown \
  --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
  /opt/apigee/apigee-mtls/source/certs/local_cert.pem

cp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pem

chmod \
  --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
  /opt/apigee/apigee-mtls/source/certs/local_cert.pem

chown \
  --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
  /opt/apigee/apigee-mtls/source/certs/local_cert.pem
  6. מפעילים מחדש את apigee-mtls: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
  7. מפעילים מחדש את כל רכיבי הליבה של Apigee: 
    /opt/apigee/apigee-service/bin/apigee-all start
    צפייה הפעלה/עצירה/בדיקה של כל הרכיבים.