証明書の目的を検証する

<ph type="x-smartling-placeholder"></ph> 現在、Apigee Edge のドキュメントが表示されています。
Apigee X のドキュメント 詳細

<ph type="x-smartling-placeholder">

このドキュメントでは、証明書をアップロードする前に証明書の目的を検証する方法について説明します。 ホストできます。このプロセスは OpenSSL を使用して検証され、適用可能 OpenSSL が利用可能なあらゆる環境で動作します。

TLS 証明書は通常、1 つ以上の用途で発行されます。 これは通常、公開鍵に含まれるオペレーションの数を制限するために行います。 使用できます。証明書の目的は次のとおりです。 証明書の拡張:

  • 鍵の用途
  • 鍵の拡張的用途

鍵の用途

鍵用途の拡張機能は、鍵の目的(暗号化、署名、鍵など)を (証明書の署名など)で署名されたものになります。公開鍵が Cloud Storage バケットに 場合、証明書拡張は、キーの使用法を デジタル署名

認証局(CA)のプロセスは次のとおりです。

  • デジタル署名
  • 否認防止
  • 鍵の暗号化
  • データの暗号化
  • 鍵交換
  • 証明書の署名
  • CRL 署名
  • 暗号化のみ
  • 解読のみ

これらの鍵使用の拡張機能について詳しくは、このモジュールの RFC5280、鍵の使用

鍵の拡張的用途

この拡張は、認証済み公開鍵の用途が 1 つ以上あることを示します。 キー使用の拡張機能で示されている基本的な目的に追加または置き換えることができます。イン 通常、この拡張機能はエンド エンティティの証明書にのみ表示されます。

鍵の拡張的用途の一般的な拡張機能は次のとおりです。

  • TLS Web server authentication
  • TLS Web client authentication
  • anyExtendedKeyUsage

拡張キーは、「重大」または「非重要」のいずれかです。

  • 拡張機能が重大である場合、証明書は指定された場合にのみ使用する必要があります。 判断できます。証明書が別の目的で使用される場合、証明書は CA のポリシーが適用されます。
  • 拡張機能が重大でない場合は、拡張機能の本来の目的または目的を示します。 鍵は情報提供であり、CA が鍵の使用を 示されます。ただし、証明書を使用するアプリケーションでは、 証明書が承認されるようにするには、その目的を明記する必要があります。

証明書に鍵用途フィールドと拡張鍵用途フィールドの両方が 重要である場合、両方のフィールドを個別に処理する必要があります。その場合、証明書を 鍵の用途として両方の値を満たす用途に限ります。ルールに その証明書をすべての用途に使用することができず、その証明書を あります。

証明書を調達する際は、証明書に適切な鍵の使用方法が定義されていて、 クライアント証明書またはサーバー証明書の要件が満たされない場合、TLS handshake は失敗します。

目的 鍵の用途

(必須)

鍵の拡張的用途

(省略可)

Apigee Edge の仮想ホストのキーストアで使用されるサーバー エンティティ証明書
  • デジタル署名
  • 鍵暗号化または鍵交換
TLS ウェブサーバー認証
Apigee Edge の仮想ホストのトラストストアで使用されるクライアント エンティティ証明書
  • デジタル署名または鍵交換
TLS ウェブ クライアント認証
Apigee Edge のターゲット サーバーのトラストストアで使用されるサーバー エンティティ証明書
  • デジタル署名
  • 鍵暗号化または鍵交換
TLS ウェブサーバー認証
Apigee Edge のターゲット サーバーのキーストアで使用されるクライアント エンティティ証明書
  • デジタル署名または鍵交換
TLS ウェブ クライアント認証
中間証明書とルート証明書
  • 証明書の署名
  • 証明書失効リスト(CRL)の署名

始める前に

このドキュメントの手順を使用する前に、次のトピックを理解しておいてください。

  • 証明書チェーンについてよく理解していない場合は、 チェーン オブ トラスト
  • OpenSSL ライブラリに詳しくない場合は、 OpenSSL
  • 鍵用途の拡張機能と鍵の拡張的用途について詳しくは、 RFC5280
  • このガイドのコマンドラインの例を使用する場合は、最新のものをインストールするか、最新バージョンにアップデートしてください。 OpenSSL クライアントのバージョン
  • 証明書が PEM 形式であることを確認します。そうでない場合は、 <ph type="x-smartling-placeholder"></ph> 証明書を PEM 形式に変換します

証明書の目的を検証する

このセクションでは、証明書の目的を検証する手順について説明します。

  1. OpenSSL が存在するサーバーにログインします。
  2. 証明書の鍵用途を取得するには、次の OpenSSL コマンドを実行します。 
    openssl x509 -noout -ext keyUsage < certificate

    ここで、certificate は証明書の名前です。

    出力例 

    openssl x509 -noout -ext keyUsage < entity.pem
X509v3 Key Usage: critical
    Digital Signature, Key Encipherment

openssl x509 -noout -ext keyUsage < intermediate.pem
X509v3 Key Usage: critical
    Certificate Sign, CRL Sign
  3. 鍵の使用が必須の場合は、次のように重要と定義されます。 
    openssl x509 -noout -ext keyUsage < intermediate.pem
X509v3 Key Usage: critical
    Certificate Sign, CRL Sign
  4. 次のコマンドを実行して、証明書の鍵の拡張的用途を取得します。 鍵の拡張的用途が重要として定義されていない場合は、推奨事項であり、 義務ではありません。 
    openssl x509 -noout -ext extendedKeyUsage < certificate

    ここで、certificate は証明書の名前です。

    出力例 

    openssl x509 -noout -ext extendedKeyUsage < entity.pem
X509v3 Extended Key Usage:
    TLS Web Server Authentication, TLS Web Client Authentication

openssl x509 -noout -ext extendedKeyUsage < intermediate.pem
X509v3 Extended Key Usage:
    TLS Web Server Authentication, TLS Web Client Authentication
で確認できます。 <ph type="x-smartling-placeholder">