Halaman ini menjelaskan tugas pemeliharaan mTLS Apigee yang perlu dilakukan secara rutin.
Mengubah sertifikat lokal
Sertifikat lokal, yang diinstal di setiap host Apigee, perlu diganti dengan sertifikat baru satu per tahun. Tindakan ini disebut rotasi sertifikat. Ada dua cara untuk merotasi sertifikat, tergantung pada apakah Anda menggunakan certificate authority kustom, atau sebuah sertifikat yang diinstal oleh Consul.
Merotasi sertifikat lokal tanpa otoritas sertifikat (CA) khusus
Cara termudah untuk merotasi sertifikat tanpa CA kustom adalah dengan
uninstal dan
instal ulang apigee-mtls.
Tindakan ini akan menghapus semua sertifikat lama yang ada, dan membuat sertifikat baru secara lokal.
Anda dapat melakukan ini dengan periode nonaktif minimal
dengan menjalankan perintah berikut pada setiap {i>host<i},
satu per satu:
Catatan: Hal ini mengasumsikan file silent.conf yang sama dengan yang digunakan untuk
instalasi awal.
- Hentikan semua komponen inti Apigee:
/opt/apigee/apigee-service/bin/apigee-all stop
Lihat Memulai/menghentikan/memeriksa semua komponen. - Hentikan
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- Uninstal
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall
- Instal ulang
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls install
- Jalankan
apigee-mtls setup:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf
- Mulai ulang
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Mulai ulang semua komponen inti Apigee:
/opt/apigee/apigee-service/bin/apigee-all start
Lihat Memulai/menghentikan/memeriksa semua komponen.
Merotasi sertifikat lokal dengan certificate authority (CA) khusus
Untuk merotasi sertifikat lokal dengan CA kustom, lakukan langkah-langkah berikut:
- Ikuti langkah-langkah di artikel Menggunakan sertifikat kustom untuk membuat sertifikat baru yang akan Anda gunakan.
- Hentikan semua komponen inti Apigee:
/opt/apigee/apigee-service/bin/apigee-all stop
Lihat Memulai/menghentikan/memeriksa semua komponen. - Hentikan
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- Hapus file sertifikat lokal lama:
rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
rm -f /opt/apigee/apigee-mtls/certs/local_key.pemrm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pemrm -f /opt/apigee/apigee-mtls/source/certs/local_key.pemrm -rf /opt/apigee/data/apigee-mtls - Salin sertifikat/pasangan kunci baru yang dihasilkan di langkah pertama ke lokasi berikut, dan
perbarui izin:
cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pemcp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemcp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemcp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem - Mulai ulang
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Mulai ulang semua komponen inti Apigee:
/opt/apigee/apigee-service/bin/apigee-all start
Lihat Memulai/menghentikan/memeriksa semua komponen.