<ph type="x-smartling-placeholder"></ph>
현재 Apigee Edge 문서를 보고 있습니다.
Apigee X 문서. 정보
이 문서에서는 인증서를 업로드하기 전에 인증서의 목적을 확인하는 방법을 설명합니다. keystore 또는 truststore에 저장됩니다 이 프로세스는 유효성 검사에 OpenSSL을 사용하며 적용 가능합니다. OpenSSL을 사용할 수 있는 모든 환경에서 사용할 수 있습니다.
TLS 인증서는 일반적으로 사용할 수 있는 하나 이상의 목적으로 발급됩니다. 일반적으로 이 작업은 공개 키에 포함된 작업 수를 제한하기 위해 수행됩니다. 사용할 수 있습니다 인증서의 목적은 다음에서 확인할 수 있습니다. 인증서 확장자:
- 키 사용
- 확장된 키 사용
키 사용
키 사용 확장 프로그램은 목적 (예: 암호화, 서명 또는 인증서 서명)를 입력합니다. 공개 키가 엔티티 인증이 필요한 경우 인증서 확장 프로그램에 키 사용이 디지털 서명.
다음을 사용하여 생성된 TLS 인증서에 사용할 수 있는 다양한 키 사용 확장 프로그램 인증 기관 (CA) 프로세스는 다음과 같습니다.
- 디지털 서명
- 부인 방지
- 키 암호화
- 데이터 암호화
- 키 일치
- 인증서 서명
- CRL 서명
- 암호화만
- 해독만
이러한 키 사용 확장 프로그램에 관한 자세한 내용은 다음을 참고하세요. RFC5280, 키 사용
확장된 키 사용
이 확장 프로그램은 인증된 공개 키를 사용할 수 있는 하나 이상의 목적을 나타냅니다. 사용할 수 있습니다. 포함 일반적으로 이 확장자는 최종 엔티티 인증서에만 표시됩니다.
일반적인 확장 키 사용 확장 프로그램은 다음과 같습니다.
-
TLS Web server authentication
-
TLS Web client authentication
-
anyExtendedKeyUsage
확장 키는 중요 또는 중요하지 않음일 수 있습니다.
- 확장자가 중요인 경우 인증서는 지정된 정합니다. 인증서가 다른 용도로 사용되는 경우 CA의 정책을 대체합니다.
- 확장 프로그램이 중요하지 않은 경우 확장 프로그램의 의도된 용도 또는 목적을 나타냅니다. 키가 정보 제공용이며 CA가 키 사용을 나타냅니다. 하지만 인증서를 사용하는 애플리케이션은 인증서가 허용될 수 있도록 용도를 표시해야 합니다.
인증서에 다음과 같이 키 사용 필드와 확장 키 사용 필드가 모두 포함되어 있는 경우 두 필드가 모두 독립적으로 처리되어야 하며, 인증서는 두 가지 키 사용 값을 모두 만족하는 목적으로만 사용됩니다. 하지만 사용할 수 있는 경우에 해당 인증서는 사용할 수 있습니다.
인증서를 조달할 때 TLS 핸드셰이크가 실패합니다.
Apigee Edge에서 사용되는 인증서의 권장 키 사용 및 확장 키 사용
목적 |
키 사용
(필수) |
확장된 키 사용
(선택사항) |
Apigee Edge 가상 호스트의 키 저장소에 사용되는 서버 항목 인증서 |
|
TLS 웹 서버 인증 |
Apigee Edge 가상 호스트의 트러스트 저장소에 사용되는 클라이언트 항목 인증서 |
|
TLS 웹 클라이언트 인증 |
Apigee Edge 대상 서버의 트러스트 저장소에 사용되는 서버 항목 인증서 |
|
TLS 웹 서버 인증 |
Apigee Edge 대상 서버의 키 저장소에 사용되는 클라이언트 항목 인증서 |
|
TLS 웹 클라이언트 인증 |
중간 인증서 및 루트 인증서 |
|
시작하기 전에
이 문서의 단계를 사용하기 전에 다음 주제를 이해해야 합니다.
- 인증서 체인에 익숙하지 않은 경우 다음을 참조하세요. 신뢰 체인.
- OpenSSL 라이브러리에 익숙하지 않은 경우 OpenSSL
- 키 사용 확장 프로그램 및 확장 키 사용에 관해 자세히 알아보려면 다음을 참고하세요. RFC5280
- 이 가이드의 명령줄 예시를 사용하려면 최신 버전의 API를 설치하거나 OpenSSL 클라이언트 버전
- 인증서가 PEM 형식인지 확인하고, 그렇지 않은 경우 다음 안내를 따르세요. <ph type="x-smartling-placeholder"></ph> 인증서를 PEM 형식으로 변환하세요.
인증서 용도 확인
이 섹션에서는 인증서의 목적을 확인하는 데 사용되는 단계를 설명합니다.
- OpenSSL이 있는 서버에 로그인합니다.
-
인증서의 키 사용을 가져오려면 다음 OpenSSL 명령어를 실행합니다.
openssl x509 -noout -ext keyUsage < certificate
여기서 certificate은 인증서 이름입니다.
샘플 출력
openssl x509 -noout -ext keyUsage < entity.pem X509v3 Key Usage: critical Digital Signature, Key Encipherment openssl x509 -noout -ext keyUsage < intermediate.pem X509v3 Key Usage: critical Certificate Sign, CRL Sign
-
키 사용이 필수인 경우 다음과 같이 필수로 정의됩니다.
openssl x509 -noout -ext keyUsage < intermediate.pem X509v3 Key Usage: critical Certificate Sign, CRL Sign
-
다음 명령어를 실행하여 인증서의 확장 키 사용을 가져옵니다.
확장 키 사용이 중요한 것으로 정의되지 않은 경우에는 권장사항이며
하는 것입니다.
openssl x509 -noout -ext extendedKeyUsage < certificate
여기서 certificate은 인증서 이름입니다.
샘플 출력
openssl x509 -noout -ext extendedKeyUsage < entity.pem X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication openssl x509 -noout -ext extendedKeyUsage < intermediate.pem X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication