Stai visualizzando la documentazione di Apigee Edge.
Vai alla sezione
Documentazione di Apigee X. Informazioni
Questo documento spiega come convalidare lo scopo di un certificato prima di caricarlo a un archivio chiavi o un archivio attendibilità. Il processo si basa su OpenSSL per la convalida ed è applicabile in tutti gli ambienti in cui è disponibile OpenSSL.
I certificati TLS vengono generalmente emessi con uno o più scopi per i quali possono essere utilizzati. In genere ciò viene fatto per limitare il numero di operazioni per le quali una chiave pubblica conteneva. nel certificato. Lo scopo del certificato è disponibile nei seguenti estensioni dei certificati:
- Utilizzo della chiave
- Utilizzo esteso della chiave
Utilizzo della chiave
L'estensione di utilizzo della chiave definisce lo scopo (ad esempio, crittografia, firma firma del certificato) della chiave contenuta nel certificato. Se la chiave pubblica viene utilizzata autenticazione delle entità, l'estensione del certificato deve avere l'utilizzo della chiave Firma digitale.
Le diverse estensioni di utilizzo della chiave disponibili per un certificato TLS creato utilizzando La procedura dell'autorità di certificazione (CA) è la seguente:
- Firma digitale
- Non ripudio
- Crittografia chiave
- Crittografia dati
- Scambio di chiavi
- Firma del certificato
- Firma CRL
- Solo crittografia
- Solo decrittazione
Per ulteriori informazioni su queste estensioni di utilizzo delle chiavi, consulta RFC5280, utilizzo della chiave.
Utilizzo esteso della chiave
Questa estensione indica uno o più scopi per cui la chiave pubblica certificata può essere utilizzata. in aggiunta o al posto delle finalità di base indicate nell'estensione di utilizzo della chiave. Nella in generale, questa estensione verrà visualizzata solo nei certificati delle entità finali.
Di seguito sono riportate alcune estensioni comuni per l'utilizzo esteso delle chiavi:
-
TLS Web server authentication
-
TLS Web client authentication
-
anyExtendedKeyUsage
Una chiave estesa può essere critica o non critica.
- Se l'estensione è critica, il certificato deve essere utilizzato solo per i il tuo scopo o i tuoi scopi. Se il certificato viene utilizzato per un altro scopo, rappresenta una violazione delle i criteri della CA.
- Se l'estensione è non critica, indica lo scopo o gli scopi previsti di la chiave è informativa e non implica che la CA ne limiti l'uso ai soli scopo indicato. Tuttavia, le applicazioni che utilizzano i certificati potrebbero richiedere che un particolare da indicare perché il certificato sia accettabile.
Se un certificato contiene sia il campo Utilizzo della chiave sia il campo Utilizzo esteso della chiave come critici, entrambi i campi devono essere elaborati in modo indipendente e il certificato può essere utilizzato solo per uno scopo che soddisfi entrambi i valori di utilizzo delle chiavi. Tuttavia, se non vengono in grado di soddisfare entrambi i valori di utilizzo delle chiavi, il certificato non deve essere utilizzato per qualsiasi scopo.
Quando acquisti un certificato, assicurati che abbia definito l'utilizzo della chiave appropriato per soddisfare I requisiti per i certificati client o server senza i quali l'handshake TLS non andrebbe a buon fine.
Utilizzo consigliato della chiave e utilizzi estesi della chiave per i certificati utilizzati in Apigee Edge
Purpose |
Utilizzo della chiave
(obbligatorio) |
Utilizzo esteso della chiave
(facoltativo) |
Certificato dell'entità server utilizzato nell'archivio chiavi dell'host virtuale Apigee Edge |
|
Autenticazione del server web TLS |
Certificato dell'entità client utilizzato nel truststore dell'host virtuale Apigee Edge |
|
Autenticazione client web TLS |
Certificato dell'entità server utilizzato nel truststore del server di destinazione Apigee Edge |
|
Autenticazione del server web TLS |
Certificato dell'entità client utilizzato nell'archivio chiavi del server di destinazione Apigee Edge |
|
Autenticazione client web TLS |
Certificati intermedi e radice |
|
Prima di iniziare
Prima di seguire la procedura descritta in questo documento, assicurati di aver compreso i seguenti argomenti:
- Se non hai familiarità con una catena di certificati, leggi Catena di fiducia.
- Se non hai familiarità con la libreria OpenSSL, leggi OpenSSL
- Per scoprire di più sulle estensioni di utilizzo delle chiavi e sull'utilizzo esteso delle chiavi, leggi RFC5280.
- Per utilizzare gli esempi a riga di comando presenti in questa guida, installa o esegui l'aggiornamento all'ultima versione versione del client OpenSSL
- Assicurati che i certificati siano in formato PEM. In caso contrario, convertire i certificati in formato PEM.
Convalida lo scopo del certificato
Questa sezione descrive i passaggi utilizzati per convalidare lo scopo del certificato.
- Accedi al server in cui è presente OpenSSL.
-
Per ottenere l'utilizzo della chiave di un certificato, esegui il comando OpenSSL seguente:
openssl x509 -noout -ext keyUsage < certificate
Dove certificate è il nome del certificato.
Esempio di output
openssl x509 -noout -ext keyUsage < entity.pem X509v3 Key Usage: critical Digital Signature, Key Encipherment openssl x509 -noout -ext keyUsage < intermediate.pem X509v3 Key Usage: critical Certificate Sign, CRL Sign
-
Se l'utilizzo della chiave è obbligatorio, verrà definito come fondamentale come segue:
openssl x509 -noout -ext keyUsage < intermediate.pem X509v3 Key Usage: critical Certificate Sign, CRL Sign
-
Esegui questo comando per ottenere l'utilizzo esteso della chiave per un certificato.
Se l'utilizzo esteso della chiave non è definito come critico, allora è un suggerimento e
non è un mandato.
openssl x509 -noout -ext extendedKeyUsage < certificate
Dove certificate è il nome del certificato.
Esempio di output
openssl x509 -noout -ext extendedKeyUsage < entity.pem X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication openssl x509 -noout -ext extendedKeyUsage < intermediate.pem X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication