На этой странице описаны задачи обслуживания Apigee mTLS, которые необходимо выполнять регулярно.
Ротация локальных сертификатов
Локальные сертификаты, которые установлены на каждом хосте Apigee, необходимо ежегодно заменять новыми. Это называется ротацией сертификатов. Существует два способа ротации сертификатов, в зависимости от того, используете ли вы собственный центр сертификации или сертификат, установленный Consul.
Ротация локальных сертификатов без специального центра сертификации (CA)
Самый простой способ ротации сертификатов без специального центра сертификации — удалить и переустановить apigee-mtls
. При этом удаляются все имеющиеся старые сертификаты и локально создаются новые сертификаты. Вы можете сделать это с минимальным временем простоя, выполнив следующие команды на каждом хосте по одной:
Примечание. Предполагается, что присутствует тот же файл silent.conf
, который использовался для первоначальной установки.
- Остановите все основные компоненты Apigee:
См. Запуск/останов/проверка всех компонентов ./opt/apigee/apigee-service/bin/apigee-all stop
- Остановите
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- Удалите
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall
- Переустановите
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls install
- Запустите
apigee-mtls setup
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf
- Перезапустите
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Перезапустите все основные компоненты Apigee:
См. Запуск/останов/проверка всех компонентов ./opt/apigee/apigee-service/bin/apigee-all start
Ротация локальных сертификатов с помощью специального центра сертификации (CA)
Чтобы выполнить ротацию локальных сертификатов с помощью специального центра сертификации, выполните следующие действия:
- Выполните действия, описанные в разделе Использование пользовательского сертификата , чтобы создать новые сертификаты, которые вы будете использовать.
- Остановите все основные компоненты Apigee:
См. Запуск/останов/проверка всех компонентов ./opt/apigee/apigee-service/bin/apigee-all stop
- Остановите
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop
- Удалите старые локальные файлы сертификатов:
rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
rm -f /opt/apigee/apigee-mtls/certs/local_key.pem
rm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pem
rm -f /opt/apigee/apigee-mtls/source/certs/local_key.pem
rm -rf /opt/apigee/data/apigee-mtls
- Скопируйте новую пару сертификат/ключ, созданную на первом этапе, в следующие папки и обновите разрешения:
cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/certs/local_cert.pem
cp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
cp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
cp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pem
chmod \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
chown \ --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \ /opt/apigee/apigee-mtls/source/certs/local_cert.pem
- Перезапустите
apigee-mtls
:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Перезапустите все основные компоненты Apigee:
См. Запуск/останов/проверка всех компонентов ./opt/apigee/apigee-service/bin/apigee-all start