การบำรุงรักษา mTLS ของ Apigee

หน้านี้อธิบายงานการบำรุงรักษา Apigee mTLS ที่ต้องดำเนินการเป็นประจำ

การหมุนเวียนใบรับรองในเครื่อง

ใบรับรองในเครื่อง ซึ่งติดตั้งบนโฮสต์ Apigee แต่ละรายการจะต้องแทนที่ด้วยใบรับรองใหม่ ทุกปี ซึ่งเรียกว่าการหมุนเวียนใบรับรอง การหมุนเวียนใบรับรองมี 2 วิธี ได้แก่ ขึ้นอยู่กับว่า คุณใช้ผู้ออกใบรับรองที่กำหนดเอง หรือ ใบรับรองที่ติดตั้งโดย Consul

การหมุนเวียนใบรับรองในเครื่องโดยไม่มีผู้ออกใบรับรองที่กำหนดเอง (CA)

วิธีที่ง่ายที่สุดในการหมุนเวียนใบรับรองโดยไม่ใช้ CA ที่กำหนดเองคือ uninstall และ ติดตั้งอีกครั้ง apigee-mtls การดำเนินการนี้จะนำใบรับรองเก่าทั้งหมดออกและสร้างใบรับรองใหม่ในเครื่อง ซึ่งคุณสามารถทำได้โดยใช้ช่วงพักน้อยที่สุดโดยเรียกใช้คำสั่งต่อไปนี้กับแต่ละโฮสต์ ทีละรายการ:

หมายเหตุ: จะถือว่าเป็นไฟล์ silent.conf เดียวกับที่ใช้สำหรับพร็อพเพอร์ตี้ คือการติดตั้งครั้งแรก

  1. หยุดคอมโพเนนต์หลักของ Apigee ทั้งหมดดังนี้
    /opt/apigee/apigee-service/bin/apigee-all stop
    โปรดดู เริ่ม/หยุด/ตรวจสอบคอมโพเนนต์ทั้งหมด
  2. หยุด apigee-mtls: วันที่
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
  3. ถอนการติดตั้ง apigee-mtls: วันที่
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall
  4. ติดตั้ง apigee-mtls อีกครั้ง: วันที่
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls install
  5. เรียกใช้ apigee-mtls setup: วันที่
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf
  6. รีสตาร์ท apigee-mtls: วันที่
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
  7. รีสตาร์ทคอมโพเนนต์หลักของ Apigee ทั้งหมดดังนี้
    /opt/apigee/apigee-service/bin/apigee-all start
    โปรดดู เริ่ม/หยุด/ตรวจสอบคอมโพเนนต์ทั้งหมด

การหมุนเวียนใบรับรองในพื้นที่กับผู้ออกใบรับรองที่กำหนดเอง (CA)

ในการหมุนเวียนใบรับรองในเครื่องด้วย CA ที่กำหนดเอง ให้ทำตามขั้นตอนต่อไปนี้

  1. ทำตามขั้นตอนในหัวข้อใช้ใบรับรองที่กำหนดเอง เพื่อสร้างใบรับรองใหม่ที่คุณจะใช้
  2. หยุดคอมโพเนนต์หลักของ Apigee ทั้งหมดดังนี้
    /opt/apigee/apigee-service/bin/apigee-all stop
    โปรดดู เริ่ม/หยุด/ตรวจสอบคอมโพเนนต์ทั้งหมด
  3. หยุด apigee-mtls: วันที่
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
  4. นำไฟล์ใบรับรองในเครื่องไฟล์เก่าออกดังนี้
    rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
    rm -f /opt/apigee/apigee-mtls/certs/local_key.pem
    rm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pem
    rm -f /opt/apigee/apigee-mtls/source/certs/local_key.pem
    rm -rf /opt/apigee/data/apigee-mtls
  5. คัดลอกคู่คีย์/ใบรับรองใหม่ที่สร้างขึ้นในขั้นตอนแรกลงในตำแหน่งต่อไปนี้ และ อัปเดตการอนุญาต:
    cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pem
    
    chmod \
      --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
      /opt/apigee/apigee-mtls/certs/local_cert.pem
    
    chown \
      --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
      /opt/apigee/apigee-mtls/certs/local_cert.pem
    
    cp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pem
    
    chmod \
      --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
      /opt/apigee/apigee-mtls/source/certs/local_cert.pem
    
    chown \
      --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
      /opt/apigee/apigee-mtls/source/certs/local_cert.pem
    
    cp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pem
    
    chmod \
      --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
      /opt/apigee/apigee-mtls/source/certs/local_cert.pem
    
    chown \
      --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
      /opt/apigee/apigee-mtls/source/certs/local_cert.pem
    
    cp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pem
    
    chmod \
      --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
      /opt/apigee/apigee-mtls/source/certs/local_cert.pem
    
    chown \
      --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
      /opt/apigee/apigee-mtls/source/certs/local_cert.pem
  6. รีสตาร์ท apigee-mtls: วันที่
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
  7. รีสตาร์ทคอมโพเนนต์หลักของ Apigee ทั้งหมดดังนี้
    /opt/apigee/apigee-service/bin/apigee-all start
    โปรดดู เริ่ม/หยุด/ตรวจสอบคอมโพเนนต์ทั้งหมด