شما در حال مشاهده اسناد Apigee Edge هستید.
به مستندات Apigee X بروید . اطلاعات
این سند توضیح می دهد که چگونه می توان هدف یک گواهی را قبل از آپلود گواهی در یک فروشگاه کلید یا یک فروشگاه اعتماد تأیید کرد. این فرآیند برای اعتبارسنجی به OpenSSL متکی است و در هر محیطی که OpenSSL در دسترس است قابل اجرا است.
گواهیهای TLS معمولاً با یک یا چند هدف صادر میشوند که میتوان از آنها استفاده کرد. معمولاً این کار برای محدود کردن تعداد عملیاتی انجام میشود که میتوان از کلید عمومی موجود در گواهی استفاده کرد. هدف گواهی در پسوندهای گواهی زیر موجود است:
- استفاده از کلید
- استفاده از کلید گسترده
استفاده از کلید
پسوند استفاده از کلید هدف (مثلاً رمزگذاری، امضا یا امضای گواهی) کلید موجود در گواهی را مشخص می کند. اگر از کلید عمومی برای احراز هویت موجودیت استفاده می شود، پسوند گواهی باید دارای کلید استفاده از امضای دیجیتال باشد.
پسوندهای مختلف استفاده از کلید موجود برای یک گواهی TLS ایجاد شده با استفاده از فرآیند مرجع صدور گواهی (CA) به شرح زیر است:
- امضای دیجیتال
- عدم انکار
- رمزگذاری کلید
- رمزگذاری داده ها
- توافقنامه کلیدی
- امضای گواهی
- امضای CRL
- فقط رمزگذاری
- فقط رمزگشایی
برای اطلاعات بیشتر در مورد این افزونههای استفاده از کلید، RFC5280، استفاده از کلید را ببینید.
استفاده از کلید گسترده
این برنامه افزودنی یک یا چند هدف را نشان می دهد که کلید عمومی تایید شده ممکن است برای آنها استفاده شود، علاوه بر یا به جای اهداف اصلی نشان داده شده در پسوند استفاده از کلید. به طور کلی، این پسوند فقط در گواهی های موجودیت نهایی ظاهر می شود.
برخی از پسوندهای رایج استفاده از کلید توسعه یافته به شرح زیر است:
-
TLS Web server authentication
-
TLS Web client authentication
-
anyExtendedKeyUsage
یک کلید توسعه یافته می تواند بحرانی یا غیر بحرانی باشد.
- اگر برنامه افزودنی حیاتی است، گواهی باید فقط برای هدف یا اهداف مشخص شده استفاده شود. اگر از گواهی برای هدف دیگری استفاده شود، نقض خطمشی CA است.
- اگر برنامه افزودنی غیر بحرانی باشد، نشان می دهد که هدف یا اهداف کلید اطلاعاتی است و به این معنا نیست که CA استفاده از کلید را به هدف مشخص شده محدود می کند. با این حال، برنامههایی که از گواهیها استفاده میکنند ممکن است نیاز داشته باشند که هدف خاصی مشخص شود تا گواهی قابل قبول باشد.
اگر یک گواهی شامل فیلد استفاده از کلید و فیلد استفاده از کلید توسعهیافته بهعنوان حیاتی باشد، هر دو فیلد باید به طور مستقل پردازش شوند و گواهی میتواند فقط برای هدفی استفاده شود که هر دو مقدار استفاده کلید را برآورده کند. با این حال، اگر هدفی وجود نداشته باشد که بتواند هر دو مقدار استفاده کلیدی را برآورده کند، آن گواهی نباید برای هیچ هدفی استفاده شود.
هنگامی که گواهی را تهیه می کنید، اطمینان حاصل کنید که استفاده از کلید مناسب برای برآورده کردن الزامات گواهی های سرویس گیرنده یا سرور تعریف شده است که بدون آن، دست دادن TLS با شکست مواجه می شود.
استفاده از کلیدهای پیشنهادی و کاربردهای کلید توسعه یافته برای گواهی های مورد استفاده در Apigee Edge
هدف | استفاده از کلید (اجباری) | استفاده از کلید گسترده (اختیاری) |
گواهی موجودیت سرور مورد استفاده در فروشگاه کلید Apigee Edge میزبان مجازی |
| احراز هویت وب سرور TLS |
گواهی نهاد مشتری مورد استفاده در فروشگاه اعتماد Apigee Edge میزبان مجازی |
| احراز هویت سرویس گیرنده وب TLS |
گواهی موجودیت سرور مورد استفاده در فروشگاه اعتماد Apigee Edge سرور مورد نظر |
| احراز هویت وب سرور TLS |
گواهی نهاد مشتری استفاده شده در فروشگاه کلید Apigee Edge سرور مورد نظر |
| احراز هویت سرویس گیرنده وب TLS |
گواهینامه های متوسط و ریشه |
|
قبل از شروع
قبل از استفاده از مراحل این سند، مطمئن شوید که موضوعات زیر را درک کرده اید:
- اگر با زنجیره گواهی آشنایی ندارید، زنجیره اعتماد را بخوانید.
- اگر با کتابخانه OpenSSL آشنایی ندارید، OpenSSL را بخوانید
- اگر میخواهید درباره برنامههای افزودنی استفاده از کلید و استفاده گسترده از کلید بیشتر بدانید، RFC5280 را بخوانید.
- اگر میخواهید از نمونههای خط فرمان در این راهنما استفاده کنید، آخرین نسخه کلاینت OpenSSL را نصب یا بهروزرسانی کنید
- اطمینان حاصل کنید که گواهی ها در قالب PEM هستند و در غیر این صورت، گواهی ها را به فرمت PEM تبدیل کنید .
هدف گواهی را تأیید کنید
این بخش مراحلی را که برای تایید هدف گواهی استفاده می شود، شرح می دهد.
- به سروری که OpenSSL وجود دارد وارد شوید.
- برای دریافت کلید استفاده از یک گواهی، دستور OpenSSL زیر را اجرا کنید:
openssl x509 -noout -ext keyUsage < certificate
جایی که certificate نام گواهی است.
خروجی نمونه
openssl x509 -noout -ext keyUsage < entity.pem X509v3 Key Usage: critical Digital Signature, Key Encipherment openssl x509 -noout -ext keyUsage < intermediate.pem X509v3 Key Usage: critical Certificate Sign, CRL Sign
- اگر استفاده از کلید اجباری باشد، آنگاه به صورت حیاتی تعریف می شود:
openssl x509 -noout -ext keyUsage < intermediate.pem X509v3 Key Usage: critical Certificate Sign, CRL Sign
- دستور زیر را برای دریافت استفاده از کلید توسعه یافته برای یک گواهی اجرا کنید. اگر استفاده از کلید توسعهیافته بهعنوان حیاتی تعریف نشده باشد، این یک توصیه است و نه یک دستور.
openssl x509 -noout -ext extendedKeyUsage < certificate
جایی که certificate نام گواهی است.
خروجی نمونه
openssl x509 -noout -ext extendedKeyUsage < entity.pem X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication openssl x509 -noout -ext extendedKeyUsage < intermediate.pem X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication