Apigee mTLS 維護

本頁面說明需要定期執行的 Apigee mTLS 維護工作。

輪替本機憑證

每個 Apigee 主機上安裝的本機憑證，都需要替換為新的憑證 每年挑戰一次這就是「憑證輪替」的過程。輪替憑證的方式有兩種 取決於 您使用自訂憑證授權單位，或 由 Consul 安裝的憑證。

在沒有自訂憑證授權單位 (CA) 的情況下輪替本機憑證

如要在沒有自訂 CA 的情況下輪替憑證，最簡單的方法就是 uninstall 並 重新安裝 apigee-mtls。 這麼做會移除所有舊憑證，並在本機產生新憑證。 在每個主機上執行下列指令，這種做法可在最短的停機時間內執行。 逐一移除：

注意：這假設 silent.conf 檔案用於 初始安裝已存在。

1. 停止所有 Apigee 元件：

   /opt/apigee/apigee-service/bin/apigee-all stop

   詳情請見 啟動/停止/檢查所有元件。
2. 停止「apigee-mtls」：

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop

3. 解除安裝 apigee-mtls：

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall

4. 重新安裝 apigee-mtls：

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls install

5. 執行 apigee-mtls setup：

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf

6. 重新啟動 apigee-mtls：

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls start

7. 重新啟動所有 Apigee 元件：

   /opt/apigee/apigee-service/bin/apigee-all start

   詳情請見 啟動/停止/檢查所有元件。

透過自訂憑證授權單位 (CA) 輪替本機憑證

如要透過自訂 CA 輪替本機憑證，請按照下列步驟操作：

1. 請按照「使用自訂憑證」一節的步驟操作 產生要使用的新憑證
2. 停止所有 Apigee 元件：

   /opt/apigee/apigee-service/bin/apigee-all stop

   詳情請見 啟動/停止/檢查所有元件。
3. 停止「apigee-mtls」：

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop

4. 移除舊的本機憑證檔案：

   rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
   rm -f /opt/apigee/apigee-mtls/certs/local_key.pem
   rm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   rm -f /opt/apigee/apigee-mtls/source/certs/local_key.pem
   rm -rf /opt/apigee/data/apigee-mtls

5. 將第一個步驟中產生的新憑證/金鑰組複製到下列位置，並且 更新權限：

   cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/certs/local_cert.pem
   
   cp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   cp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   cp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem

6. 重新啟動 apigee-mtls：

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls start

7. 重新啟動所有 Apigee 元件：

   /opt/apigee/apigee-service/bin/apigee-all start

   詳情請見 啟動/停止/檢查所有元件。