جارٍ التحقّق من صحة الغرض من الشهادة

يتم الآن عرض مستندات Apigee Edge.
انتقِل إلى مستندات Apigee X. المعلومات

يشرح هذا المستند كيفية التحقق من صحة الغرض من الشهادة قبل تحميل الشهادة إلى ملف تخزين مفاتيح أو ملف تخزين موثوق به. وتعتمد هذه العملية على أداة OpenSSL للتحقّق من الصحة ويمكن تطبيقها على أي بيئة يتوفر فيها بروتوكول OpenSSL.

يتم إصدار شهادات TLS بشكلٍ عام لغرض واحد أو أكثر يمكن استخدامها من أجله. يحدث ذلك عادةً لتقييد عدد العمليات التي يمكن استخدام مفتاح عام مضمَّن في الشهادة لها. ويتوفر الغرض من الشهادة في امتدادات الشهادات التالية:

  • استخدام المفتاح
  • استخدام المفتاح الموسَّع

استخدام المفتاح

تحدّد إضافة استخدام المفتاح الغرض (مثل التشفير أو التوقيع أو توقيع الشهادة) للمفتاح المضمَّن في الشهادة. إذا تم استخدام المفتاح العام لمصادقة الكيان، يجب أن تحتوي إضافة الشهادة على استخدام المفتاح التوقيع الرقمي.

في ما يلي إضافات استخدام المفاتيح المختلفة المتاحة لشهادة بروتوكول أمان طبقة النقل (TLS) التي تم إنشاؤها باستخدام عملية مرجع التصديق:

  • التوقيع الرقمي
  • عدم الإنكار
  • تشفير المفتاح
  • ترميز البيانات
  • الاتفاقية الرئيسية
  • توقيع الشهادات
  • توقيع CRL
  • التشفير فقط
  • فك التشفير فقط

لمزيد من المعلومات حول إضافات الاستخدام الرئيسية هذه، يمكنك الاطّلاع على RFC5280، استخدام المفتاح.

استخدام المفتاح الموسَّع

تشير هذه الإضافة إلى غرض واحد أو أكثر يمكن من أجله استخدام المفتاح العام المعتمد، بالإضافة إلى الأغراض الأساسية المُشار إليها في إضافة استخدام المفتاح أو بدلاً منها. بشكلٍ عام، لن تظهر هذه الإضافة إلا في شهادات الكيان النهائي.

في ما يلي بعض الإضافات الشائعة الممتدة للاستخدام:

  • TLS Web server authentication
  • TLS Web client authentication
  • anyExtendedKeyUsage

يمكن أن يكون المفتاح الموسَّع مهمًا أو غير بالغ الأهمية.

  • إذا كانت الإضافة بالغة الأهمية، يجب عدم استخدام الشهادة إلا للغرض أو الأغراض المُشار إليهما. إذا تم استخدام الشهادة لغرض آخر، يكون ذلك منتهكًا لسياسة مرجع التصديق.
  • إذا كانت الإضافة غير خطيرة، تشير إلى أنّ الغرض أو الأغراض المقصودة من المفتاح معلوماتية ولا تشير ضمنًا إلى أنّ مرجع التصديق يحظر استخدام المفتاح للغرض المُشار إليه. ومع ذلك، قد تتطلّب التطبيقات التي تستخدم الشهادات تحديد غرض معيّن لتكون الشهادة مقبولة.

وإذا تضمّنت الشهادة كلاً من حقل استخدام المفتاح وحقل استخدام المفتاح الموسَّع كهما مهمَّين، يجب معالجة كلا الحقلَين بشكل مستقلّ، ولا يمكن استخدام الشهادة إلا لغرض يفي بقيمتي استخدام المفتاحَين كلا. وإذا لم يكن هناك غرض يلبي قيمتَي الاستخدام الرئيسيَين، يجب عدم استخدام هذه الشهادة لأي غرض.

عند شراء شهادة، تأكَّد من توفّر الاستخدام المناسب للمفتاح في تلك الشهادة لتلبية متطلبات شهادات العميل أو الخادم التي لن تنجح عملية تأكيد الاتصال من خلال بروتوكول أمان طبقة النقل (TLS).

الغرض استخدام المفتاح

(إلزامي)

استخدام المفتاح الموسَّع

(اختياري)

شهادة كيان الخادم المستخدَمة في مخزن مفاتيح المضيف الافتراضي Apigee Edge
  • التوقيع الرقمي
  • تشفير المفتاح أو الاتفاقية على المفتاح
مصادقة خادم الويب TLS
شهادة كيان العميل المستخدَمة في المتجر الموثوق به للمضيف الافتراضي Apigee Edge
  • توقيع رقمي أو اتفاقية مفاتيح
مصادقة عميل TLS على الويب
شهادة كيان الخادم المستخدَمة في المتجر الموثوق للخادم الهدف في Apigee Edge
  • التوقيع الرقمي
  • تشفير المفتاح أو الاتفاقية على المفتاح
مصادقة خادم الويب TLS
شهادة كيان العميل المستخدَمة في مخزن مفاتيح الخادم الهدف Apigee Edge
  • توقيع رقمي أو اتفاقية مفاتيح
مصادقة عميل TLS على الويب
الشهادات المتوسطة والجذرية
  • علامة الشهادة
  • علامة قائمة الشهادات الباطلة (CRL)

قبل البدء

قبل استخدام الخطوات الواردة في هذا المستند، تأكَّد من فهم المواضيع التالية:

  • إذا لم تكن على دراية بسلسلة شهادات، اطّلِع على سلسلة الشهادات.
  • إذا لم تكن معتادًا على استخدام مكتبة OpenSSL، يمكنك الاطّلاع على OpenSSL.
  • للاطّلاع على مزيد من المعلومات حول إضافات استخدام المفاتيح والامتداد الموسّع للمفتاح، يُرجى الاطّلاع على RFC5280.
  • إذا كنت تريد استخدام أمثلة سطر الأوامر في هذا الدليل، عليك تثبيت أحدث إصدار من برنامج OpenSSL أو تحديثه.
  • تأكَّد من أن الشهادات بتنسيق PEM، وإذا لم تكن كذلك، حوِّل الشهادات إلى تنسيق PEM.

التحقق من صحة الغرض من الشهادة

يصف هذا القسم الخطوات المستخدمة للتحقق من الغرض من الشهادة.

  1. قم بتسجيل الدخول إلى الخادم الذي يوجد به OpenSSL.
  2. وللحصول على معلومات الاستخدام الرئيسية لشهادة، شغِّل أمر OpenSSL التالي: 
    openssl x509 -noout -ext keyUsage < certificate

    حيث يكون certificate هو اسم الشهادة.

    نموذج المخرجات 

    openssl x509 -noout -ext keyUsage < entity.pem
X509v3 Key Usage: critical
    Digital Signature, Key Encipherment

openssl x509 -noout -ext keyUsage < intermediate.pem
X509v3 Key Usage: critical
    Certificate Sign, CRL Sign
  3. إذا كان استخدام المفتاح إلزاميًا، سيتم تعريفه على أنّه بالغ الأهمية على النحو التالي: 
    openssl x509 -noout -ext keyUsage < intermediate.pem
X509v3 Key Usage: critical
    Certificate Sign, CRL Sign
  4. شغِّل الأمر التالي للحصول على استخدام المفتاح الممتدّ لإحدى الشهادات. في حال لم يتم تعريف استخدام المفتاح الممتد على أنّه بالغ الأهمية، يتم تقديم اقتراح وليس تفويضًا. 
    openssl x509 -noout -ext extendedKeyUsage < certificate

    حيث يكون certificate هو اسم الشهادة.

    نموذج المخرجات 

    openssl x509 -noout -ext extendedKeyUsage < entity.pem
X509v3 Extended Key Usage:
    TLS Web Server Authentication, TLS Web Client Authentication

openssl x509 -noout -ext extendedKeyUsage < intermediate.pem
X509v3 Extended Key Usage:
    TLS Web Server Authentication, TLS Web Client Authentication