Manutenção de mTLS da Apigee

Nesta página, descrevemos as tarefas de manutenção de mTLS da Apigee que precisam ser executadas regularmente.

Como fazer a rotação de certificados locais

Os certificados locais instalados em cada host da Apigee precisam ser substituídos por novos anualmente. Isso é chamado de rotação de certificado. Há duas maneiras de fazer isso: dependendo se você está usando uma autoridade de certificação personalizada, ou um certificado instalado pelo Consul.

Como fazer a rotação de certificados locais sem uma autoridade de certificação (AC) personalizada

A maneira mais simples de fazer a rotação de certificados sem uma CA personalizada é desinstalar e reinstale apigee-mtls. Isso remove todos os certificados antigos e gera novos certificados localmente. É possível fazer isso com tempo de inatividade mínimo executando os seguintes comandos em cada host, uma de cada vez:

Observação:isso pressupõe que o mesmo arquivo silent.conf que foi usado para o quando a instalação inicial está presente.

1. Interrompa todos os componentes principais da Apigee:

   /opt/apigee/apigee-service/bin/apigee-all stop

   Consulte Inicie/interrompa/verifique todos os componentes.
2. Parar apigee-mtls:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop

3. Desinstale o apigee-mtls:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall

4. Reinstale o apigee-mtls:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls install

5. Execute apigee-mtls setup:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf

6. Reinicie o apigee-mtls:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls start

7. Reinicie todos os componentes principais da Apigee:

   /opt/apigee/apigee-service/bin/apigee-all start

   Consulte Inicie/interrompa/verifique todos os componentes.

Como fazer a rotação de certificados locais com uma autoridade de certificação (AC) personalizada

Para alternar certificados locais com uma AC personalizada, siga estas etapas:

1. Siga as etapas em Usar um certificado personalizado. para gerar os novos certificados que você usará.
2. Interrompa todos os componentes principais da Apigee:

   /opt/apigee/apigee-service/bin/apigee-all stop

   Consulte Inicie/interrompa/verifique todos os componentes.
3. Parar apigee-mtls:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop

4. Remova os arquivos de certificado local antigos:

   rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
   rm -f /opt/apigee/apigee-mtls/certs/local_key.pem
   rm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   rm -f /opt/apigee/apigee-mtls/source/certs/local_key.pem
   rm -rf /opt/apigee/data/apigee-mtls

5. Copie o novo par de certificado/chave gerado na primeira etapa nos seguintes locais e permissões de atualização:

   cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/certs/local_cert.pem
   
   cp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   cp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   cp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem

6. Reinicie o apigee-mtls:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls start

7. Reinicie todos os componentes principais da Apigee:

   /opt/apigee/apigee-service/bin/apigee-all start

   Consulte Inicie/interrompa/verifique todos os componentes.