인증서 목적 유효성 검사

<ph type="x-smartling-placeholder"></ph> 현재 Apigee Edge 문서를 보고 있습니다.
Apigee X 문서.
정보

<ph type="x-smartling-placeholder">

이 문서에서는 인증서를 업로드하기 전에 인증서의 목적을 확인하는 방법을 설명합니다. keystore 또는 truststore에 저장됩니다 이 프로세스는 유효성 검사에 OpenSSL을 사용하며 적용 가능합니다. OpenSSL을 사용할 수 있는 모든 환경에서 사용할 수 있습니다.

TLS 인증서는 일반적으로 사용할 수 있는 하나 이상의 목적으로 발급됩니다. 일반적으로 이 작업은 공개 키에 포함된 작업 수를 제한하기 위해 수행됩니다. 사용할 수 있습니다 인증서의 목적은 다음에서 확인할 수 있습니다. 인증서 확장자:

  • 키 사용
  • 확장된 키 사용

키 사용

키 사용 확장 프로그램은 목적 (예: 암호화, 서명 또는 인증서 서명)를 입력합니다. 공개 키가 엔티티 인증이 필요한 경우 인증서 확장 프로그램에 키 사용이 디지털 서명.

다음을 사용하여 생성된 TLS 인증서에 사용할 수 있는 다양한 키 사용 확장 프로그램 인증 기관 (CA) 프로세스는 다음과 같습니다.

  • 디지털 서명
  • 부인 방지
  • 키 암호화
  • 데이터 암호화
  • 키 일치
  • 인증서 서명
  • CRL 서명
  • 암호화만
  • 해독만

이러한 키 사용 확장 프로그램에 관한 자세한 내용은 다음을 참고하세요. RFC5280, 키 사용

확장된 키 사용

이 확장 프로그램은 인증된 공개 키를 사용할 수 있는 하나 이상의 목적을 나타냅니다. 사용할 수 있습니다. 포함 일반적으로 이 확장자는 최종 엔티티 인증서에만 표시됩니다.

일반적인 확장 키 사용 확장 프로그램은 다음과 같습니다.

  • TLS Web server authentication
  • TLS Web client authentication
  • anyExtendedKeyUsage

확장 키는 중요 또는 중요하지 않음일 수 있습니다.

  • 확장자가 중요인 경우 인증서는 지정된 정합니다. 인증서가 다른 용도로 사용되는 경우 CA의 정책을 대체합니다.
  • 확장 프로그램이 중요하지 않은 경우 확장 프로그램의 의도된 용도 또는 목적을 나타냅니다. 키가 정보 제공용이며 CA가 키 사용을 나타냅니다. 하지만 인증서를 사용하는 애플리케이션은 인증서가 허용될 수 있도록 용도를 표시해야 합니다.

인증서에 다음과 같이 키 사용 필드와 확장 키 사용 필드가 모두 포함되어 있는 경우 두 필드가 모두 독립적으로 처리되어야 하며, 인증서는 두 가지 키 사용 값을 모두 만족하는 목적으로만 사용됩니다. 하지만 사용할 수 있는 경우에 해당 인증서는 사용할 수 있습니다.

인증서를 조달할 때 TLS 핸드셰이크가 실패합니다.

목적 키 사용

(필수)

확장된 키 사용

(선택사항)

Apigee Edge 가상 호스트의 키 저장소에 사용되는 서버 항목 인증서
  • 디지털 서명
  • 키 암호화 또는 키 일치
TLS 웹 서버 인증
Apigee Edge 가상 호스트의 트러스트 저장소에 사용되는 클라이언트 항목 인증서
  • 디지털 서명 또는 키 계약
TLS 웹 클라이언트 인증
Apigee Edge 대상 서버의 트러스트 저장소에 사용되는 서버 항목 인증서
  • 디지털 서명
  • 키 암호화 또는 키 일치
TLS 웹 서버 인증
Apigee Edge 대상 서버의 키 저장소에 사용되는 클라이언트 항목 인증서
  • 디지털 서명 또는 키 계약
TLS 웹 클라이언트 인증
중간 인증서 및 루트 인증서
  • 인증서 서명
  • 인증서 해지 목록 (CRL) 서명

시작하기 전에

이 문서의 단계를 사용하기 전에 다음 주제를 이해해야 합니다.

  • 인증서 체인에 익숙하지 않은 경우 다음을 참조하세요. 신뢰 체인.
  • OpenSSL 라이브러리에 익숙하지 않은 경우 OpenSSL
  • 키 사용 확장 프로그램 및 확장 키 사용에 관해 자세히 알아보려면 다음을 참고하세요. RFC5280
  • 이 가이드의 명령줄 예시를 사용하려면 최신 버전의 API를 설치하거나 OpenSSL 클라이언트 버전
  • 인증서가 PEM 형식인지 확인하고, 그렇지 않은 경우 다음 안내를 따르세요. <ph type="x-smartling-placeholder"></ph> 인증서를 PEM 형식으로 변환하세요.

인증서 용도 확인

이 섹션에서는 인증서의 목적을 확인하는 데 사용되는 단계를 설명합니다.

  1. OpenSSL이 있는 서버에 로그인합니다.
  2. 인증서의 키 사용을 가져오려면 다음 OpenSSL 명령어를 실행합니다.
    openssl x509 -noout -ext keyUsage < certificate

    여기서 certificate은 인증서 이름입니다.

    샘플 출력

    openssl x509 -noout -ext keyUsage < entity.pem
    X509v3 Key Usage: critical
        Digital Signature, Key Encipherment
    
    openssl x509 -noout -ext keyUsage < intermediate.pem
    X509v3 Key Usage: critical
        Certificate Sign, CRL Sign
  3. 키 사용이 필수인 경우 다음과 같이 필수로 정의됩니다.
    openssl x509 -noout -ext keyUsage < intermediate.pem
    X509v3 Key Usage: critical
        Certificate Sign, CRL Sign
  4. 다음 명령어를 실행하여 인증서의 확장 키 사용을 가져옵니다. 확장 키 사용이 중요한 것으로 정의되지 않은 경우에는 권장사항이며 하는 것입니다.
    openssl x509 -noout -ext extendedKeyUsage < certificate

    여기서 certificate은 인증서 이름입니다.

    샘플 출력

    openssl x509 -noout -ext extendedKeyUsage < entity.pem
    X509v3 Extended Key Usage:
        TLS Web Server Authentication, TLS Web Client Authentication
    
    openssl x509 -noout -ext extendedKeyUsage < intermediate.pem
    X509v3 Extended Key Usage:
        TLS Web Server Authentication, TLS Web Client Authentication
를 통해 개인정보처리방침을 정의할 수 있습니다. <ph type="x-smartling-placeholder">