Trang này mô tả các công việc bảo trì mTLS cho Apigee cần thực hiện thường xuyên.
Xoay vòng chứng chỉ cục bộ
Các chứng chỉ cục bộ (được cài đặt trên từng máy chủ Apigee) cần phải được thay thế bằng các chứng chỉ mới mỗi năm. Đây được gọi là xoay vòng chứng chỉ. Có hai cách để xoay vòng chứng chỉ, tuỳ thuộc vào việc bạn đang sử dụng một tổ chức phát hành chứng chỉ tuỳ chỉnh, hoặc chứng chỉ do Consul cài đặt.
Xoay vòng chứng chỉ cục bộ mà không có tổ chức phát hành chứng chỉ (CA) tuỳ chỉnh
Cách đơn giản nhất để xoay vòng chứng chỉ mà không có CA tuỳ chỉnh là
gỡ cài đặt và
cài đặt lại apigee-mtls.
Thao tác này sẽ xoá tất cả chứng chỉ cũ hiện có và tạo các chứng chỉ mới trên thiết bị.
Bạn có thể thực hiện việc này với thời gian ngừng hoạt động tối thiểu bằng cách thực hiện các lệnh sau trên mỗi máy chủ,
từng mục một:
Lưu ý: Hàm này giả định chính tệp silent.conf đã được dùng cho
có cài đặt ban đầu.
- Dừng tất cả thành phần chính của Apigee:
/opt/apigee/apigee-service/bin/apigee-all stop
Xem Bắt đầu/dừng/kiểm tra tất cả thành phần. - Dừng
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- Gỡ cài đặt
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall
- Cài đặt lại
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls install
- Chạy
apigee-mtls setup:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf
- Khởi động lại
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Khởi động lại tất cả các thành phần chính của Apigee:
/opt/apigee/apigee-service/bin/apigee-all start
Xem Bắt đầu/dừng/kiểm tra tất cả thành phần.
Xoay vòng chứng chỉ cục bộ thông qua một tổ chức phát hành chứng chỉ (CA) tuỳ chỉnh
Để xoay vòng chứng chỉ cục bộ bằng một CA tuỳ chỉnh, hãy làm theo các bước sau:
- Làm theo các bước trong bài viết Sử dụng chứng chỉ tuỳ chỉnh để tạo các chứng chỉ mới mà bạn sẽ sử dụng.
- Dừng tất cả thành phần chính của Apigee:
/opt/apigee/apigee-service/bin/apigee-all stop
Xem Bắt đầu/dừng/kiểm tra tất cả thành phần. - Dừng
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- Xóa các tệp chứng chỉ cục bộ cũ:
rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
rm -f /opt/apigee/apigee-mtls/certs/local_key.pemrm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pemrm -f /opt/apigee/apigee-mtls/source/certs/local_key.pemrm -rf /opt/apigee/data/apigee-mtls - Sao chép cặp chứng chỉ/khoá mới được tạo ở bước đầu tiên vào các vị trí sau và
quyền cập nhật:
cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pemcp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemcp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemcp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pemchmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pemchown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem - Khởi động lại
apigee-mtls:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Khởi động lại tất cả các thành phần chính của Apigee:
/opt/apigee/apigee-service/bin/apigee-all start
Xem Bắt đầu/dừng/kiểm tra tất cả thành phần.