Zweck des Zertifikats validieren

<ph type="x-smartling-placeholder"></ph> Sie sehen die Dokumentation zu Apigee Edge.
Gehen Sie zur Apigee X-Dokumentation. Weitere Informationen

<ph type="x-smartling-placeholder">

In diesem Dokument wird erläutert, wie Sie den Zweck eines Zertifikats validieren, bevor Sie es hochladen Schlüsselspeicher oder Truststore. Für den Prozess wird OpenSSL zur Validierung benötigt in jeder Umgebung verfügbar ist, in der OpenSSL verfügbar ist.

TLS-Zertifikate werden in der Regel für einen oder mehrere Zwecke ausgestellt, für die sie verwendet werden können. Dies dient in der Regel dazu, die Anzahl der Vorgänge zu begrenzen, für die ein öffentlicher Schlüssel enthalten war im Zertifikat verwendet werden kann. Der Zweck des Zertifikats ist hier aufgeführt: Zertifikatserweiterungen:

• Schlüsselverwendung
• Erweiterte Schlüsselverwendung

Schlüsselverwendung

Die Erweiterung für die Schlüsselverwendung definiert den Zweck (z. B. Verschlüsselung, Signatur oder Zertifikatsignierung) des im Zertifikat enthaltenen Schlüssels. Wenn der öffentliche Schlüssel für Entitätsauthentifizierung ist, sollte die Zertifikaterweiterung die Schlüsselverwendung Digitale Signatur:

Die verschiedenen Erweiterungen für die Schlüsselverwendung, die für ein TLS-Zertifikat verfügbar sind, das mit dem Der Prozess einer Zertifizierungsstelle (Certificate Authority, CA) läuft so ab:

• Digitale Signatur
• Nachweisbarkeit
• Schlüsselverschlüsselung
• Datenverschlüsselung
• Schlüsselvereinbarung
• Zertifikatssignierung
• CRL-Signierung
• Nur verschlüsseln
• Nur entschlüsseln

Weitere Informationen zu diesen Erweiterungen für die Schlüsselverwendung finden Sie unter RFC 5280, Schlüsselverwendung.

Erweiterte Schlüsselverwendung

Diese Erweiterung gibt mindestens einen Zweck an, für den der zertifizierte öffentliche Schlüssel verwendet werden kann, zusätzlich zu oder anstelle der grundlegenden Zwecke, die in der Erweiterung für die Schlüsselverwendung angegeben sind. In Im Allgemeinen wird diese Erweiterung nur in Zertifikaten der Endentität angezeigt.

Im Folgenden finden Sie einige häufig verwendete Erweiterungen für die erweiterte Schlüsselverwendung:

• TLS Web server authentication
• TLS Web client authentication
• anyExtendedKeyUsage

Ein erweiterter Schlüssel kann entweder kritisch oder nicht kritisch sein.

• Wenn die Erweiterung kritisch ist, darf das Zertifikat nur für die angegebenen oder den Zweck haben. Wird das Zertifikat für einen anderen Zweck verwendet, verstößt es gegen die Richtlinie der Zertifizierungsstelle.
• Ist die Erweiterung nicht kritisch, gibt sie den beabsichtigten Zweck der Erweiterung an. Der Schlüssel dient zu Informationszwecken und impliziert nicht, dass die Zertifizierungsstelle die Verwendung des Schlüssels auf den angegeben ist. Bei Anwendungen, die Zertifikate verwenden, kann jedoch eine bestimmte damit das Zertifikat akzeptabel ist.

Wenn ein Zertifikat sowohl das Feld für die Schlüsselverwendung als auch das Feld für die erweiterte Schlüsselverwendung als müssen beide Felder unabhängig voneinander verarbeitet werden und das Zertifikat kann nur zu einem Zweck verwendet, der beiden Schlüsselnutzungswerten erfüllt. Wenn es keine die beide Schlüsselverwendungswerte erfüllen kann, darf dieses Zertifikat nicht für egal zu welchem Zweck.

Achten Sie beim Abrufen eines Zertifikats darauf, dass für das Zertifikat die richtige Schlüsselverwendung definiert ist, Anforderungen für Client- oder Serverzertifikate erfüllen, ohne dass der TLS-Handshake fehlschlägt.

Empfohlene und erweiterte Schlüsselverwendungen für Zertifikate, die in Apigee Edge verwendet werden

Purpose	Schlüsselverwendung (Obligatorisch)	Erweiterte Schlüsselverwendung (optional)
Zertifikat der Serverentität im Schlüsselspeicher des virtuellen Hosts von Apigee Edge	Digitale Signatur Schlüsselverschlüsselung oder Schlüsselvereinbarung	TLS-Webserverauthentifizierung
Cliententitätszertifikat, das im Truststore des virtuellen Hosts von Apigee Edge verwendet wird	Digitale Signatur oder Schlüsselvereinbarung	TLS-Webclient-Authentifizierung
Serverentitätszertifikat, das im Truststore des Zielservers von Apigee Edge verwendet wird	Digitale Signatur Schlüsselverschlüsselung oder Schlüsselvereinbarung	TLS-Webserverauthentifizierung
Cliententitätszertifikat, das im Schlüsselspeicher des Zielservers von Apigee Edge verwendet wird	Digitale Signatur oder Schlüsselvereinbarung	TLS-Webclient-Authentifizierung
Zwischen- und Root-Zertifikate	Zertifikatsignatur Zertifikatssperrlistensignatur (Certificate Revocation List, CRL)

Hinweis

Bevor Sie die Schritte in diesem Dokument verwenden, machen Sie sich mit den folgenden Themen vertraut:

• Wenn Sie mit einer Zertifikatskette nicht vertraut sind, lesen Sie Vertrauenskette:
• Wenn Sie nicht mit der OpenSSL-Bibliothek vertraut sind, lesen Sie OpenSSL
• Weitere Informationen zu Erweiterungen für die Schlüsselverwendung und erweiterter Schlüsselnutzung finden Sie unter RFC5280.
• Wenn Sie die Befehlszeilenbeispiele in dieser Anleitung verwenden möchten, installieren Sie sie oder aktualisieren Sie sie auf die neueste Version des OpenSSL-Clients
• Achten Sie darauf, dass die Zertifikate im PEM-Format vorliegen. Falls nicht, <ph type="x-smartling-placeholder"></ph> Konvertieren Sie die Zertifikate in das PEM-Format.

Zweck des Zertifikats validieren

In diesem Abschnitt werden die Schritte beschrieben, mit denen der Zweck des Zertifikats validiert wird.

1. Melden Sie sich auf dem Server an, auf dem sich OpenSSL befindet.
2. Führen Sie den folgenden OpenSSL-Befehl aus, um die Schlüsselnutzung eines Zertifikats abzurufen:

   openssl x509 -noout -ext keyUsage < certificate

   Dabei ist certificate der Name des Zertifikats.

   Beispielausgabe

   openssl x509 -noout -ext keyUsage < entity.pem
   X509v3 Key Usage: critical
       Digital Signature, Key Encipherment
   
   openssl x509 -noout -ext keyUsage < intermediate.pem
   X509v3 Key Usage: critical
       Certificate Sign, CRL Sign

3. Wenn eine Schlüsselverwendung obligatorisch ist, wird sie so als kritisch definiert:

   openssl x509 -noout -ext keyUsage < intermediate.pem
   X509v3 Key Usage: critical
       Certificate Sign, CRL Sign

4. Führen Sie den folgenden Befehl aus, um die erweiterte Schlüsselnutzung für ein Zertifikat abzurufen. Wenn die erweiterte Schlüsselverwendung nicht als kritisch definiert ist, handelt es sich um eine Empfehlung und kein Lastschriftmandat.

   openssl x509 -noout -ext extendedKeyUsage < certificate

   Dabei ist certificate der Name des Zertifikats.

   Beispielausgabe

   openssl x509 -noout -ext extendedKeyUsage < entity.pem
   X509v3 Extended Key Usage:
       TLS Web Server Authentication, TLS Web Client Authentication
   
   openssl x509 -noout -ext extendedKeyUsage < intermediate.pem
   X509v3 Extended Key Usage:
       TLS Web Server Authentication, TLS Web Client Authentication

<ph type="x-smartling-placeholder">