Manutenzione di Apigee mTLS

Questa pagina descrive le attività di manutenzione di Apigee mTLS che devono essere eseguite regolarmente.

Rotazione dei certificati locali

I certificati locali, che vengono installati su ogni host Apigee, devono essere sostituiti con nuovi quelli annuali. Questa operazione si chiama rotazione dei certificati. Esistono due modi per ruotare i certificati: in base a se stai utilizzando un'autorità di certificazione personalizzata, oppure un certificato installato da Consul.

Rotazione dei certificati locali senza un'autorità di certificazione personalizzata

Il modo più semplice per ruotare i certificati senza una CA personalizzata è Disinstalla e reinstalla apigee-mtls. In questo modo vengono rimossi tutti i certificati precedenti e vengono generati nuovi certificati localmente. Puoi farlo con tempi di inattività minimi eseguendo i seguenti comandi su ciascun host: uno alla volta:

Nota: questa opzione presuppone che sia stato utilizzato lo stesso file silent.conf utilizzato per sia presente l'installazione iniziale.

  1. Arresta tutti i componenti principali di Apigee:
    /opt/apigee/apigee-service/bin/apigee-all stop
    Consulta Avvia/interrompi/controlla tutti i componenti.
  2. Interrompi apigee-mtls:
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
  3. Disinstalla apigee-mtls:
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall
  4. Reinstalla apigee-mtls:
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls install
  5. Corsa di apigee-mtls setup:
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf
  6. Riavvia apigee-mtls:
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
  7. Riavvia tutti i componenti principali di Apigee:
    /opt/apigee/apigee-service/bin/apigee-all start
    Consulta Avvia/interrompi/controlla tutti i componenti.

Rotazione dei certificati locali con un'autorità di certificazione (CA) personalizzata

Per ruotare i certificati locali con una CA personalizzata:

  1. Segui i passaggi descritti in Utilizzare un certificato personalizzato. per generare i nuovi certificati che utilizzerai.
  2. Arresta tutti i componenti principali di Apigee:
    /opt/apigee/apigee-service/bin/apigee-all stop
    Consulta Avvia/interrompi/controlla tutti i componenti.
  3. Interrompi apigee-mtls:
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
  4. Rimuovi i file dei certificati locali precedenti:
    rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
    rm -f /opt/apigee/apigee-mtls/certs/local_key.pem
    rm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pem
    rm -f /opt/apigee/apigee-mtls/source/certs/local_key.pem
    rm -rf /opt/apigee/data/apigee-mtls
  5. Copia la nuova coppia di certificato/chiave generata nel primo passaggio nelle posizioni seguenti e aggiorna autorizzazioni:
    cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pem
    
    chmod \
      --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
      /opt/apigee/apigee-mtls/certs/local_cert.pem
    
    chown \
      --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
      /opt/apigee/apigee-mtls/certs/local_cert.pem
    
    cp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pem
    
    chmod \
      --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
      /opt/apigee/apigee-mtls/source/certs/local_cert.pem
    
    chown \
      --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
      /opt/apigee/apigee-mtls/source/certs/local_cert.pem
    
    cp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pem
    
    chmod \
      --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
      /opt/apigee/apigee-mtls/source/certs/local_cert.pem
    
    chown \
      --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
      /opt/apigee/apigee-mtls/source/certs/local_cert.pem
    
    cp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pem
    
    chmod \
      --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
      /opt/apigee/apigee-mtls/source/certs/local_cert.pem
    
    chown \
      --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
      /opt/apigee/apigee-mtls/source/certs/local_cert.pem
  6. Riavvia apigee-mtls:
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
  7. Riavvia tutti i componenti principali di Apigee:
    /opt/apigee/apigee-service/bin/apigee-all start
    Consulta Avvia/interrompi/controlla tutti i componenti.