Memvalidasi tujuan sertifikat

Anda sedang melihat dokumentasi Apigee Edge.
Buka Dokumentasi Apigee X.
info

Dokumen ini menjelaskan cara memvalidasi tujuan sertifikat sebelum Anda menguploadnya ke keystore atau truststore. Proses ini mengandalkan OpenSSL untuk validasi dan berlaku pada setiap lingkungan di mana OpenSSL tersedia.

Sertifikat TLS umumnya diterbitkan dengan satu atau beberapa tujuan yang dapat digunakan. Biasanya ini dilakukan untuk membatasi jumlah operasi yang kunci publiknya berisi dalam sertifikat dapat digunakan. Tujuan sertifikat ini tersedia di: ekstensi sertifikat:

  • Penggunaan kunci
  • Penggunaan kunci yang diperpanjang

Penggunaan kunci

Ekstensi penggunaan kunci menentukan tujuan (misalnya, enkripsi, tanda tangan, atau penandatanganan sertifikat) dari kunci yang terkandung dalam sertifikat. Jika kunci publik digunakan untuk maka ekstensi sertifikat harus memiliki data penggunaan kunci Tanda tangan digital.

Berbagai ekstensi penggunaan kunci yang tersedia untuk sertifikat TLS yang dibuat menggunakan Proses {i>Certificate Authority<i} (CA) adalah sebagai berikut:

  • Tanda tangan digital
  • Anti penyangkalan
  • Penyandian kunci
  • Penyandian data
  • Perjanjian utama
  • Penandatanganan sertifikat
  • Penandatanganan CRL
  • Khusus penyandian
  • Menguraikan saja

Untuk informasi selengkapnya tentang ekstensi penggunaan kunci ini, lihat RFC5280, Penggunaan Kunci.

Penggunaan kunci yang diperpanjang

Ekstensi ini menunjukkan satu atau beberapa tujuan di mana kunci publik tersertifikasi dapat digunakan, sebagai tambahan atau sebagai pengganti tujuan dasar yang ditunjukkan dalam ekstensi penggunaan utama. Di beberapa umum, ekstensi ini hanya akan muncul di sertifikat entitas akhir.

Beberapa ekstensi penggunaan kunci yang diperluas yang umum adalah sebagai berikut:

  • TLS Web server authentication
  • TLS Web client authentication
  • anyExtendedKeyUsage

Kunci yang diperpanjang dapat bersifat penting atau tidak penting.

  • Jika ekstensi bersifat penting, sertifikat hanya boleh digunakan untuk aktivitas yang ditunjukkan atau tujuan-tujuan. Jika sertifikat digunakan untuk tujuan lain, maka sertifikat tersebut melanggar kebijakan CA.
  • Jika ekstensi bersifat tidak penting, ini menunjukkan tujuan atau maksud kuncinya bersifat informatif dan tidak menyiratkan bahwa CA membatasi penggunaan kunci untuk tujuan yang ditunjukkan. Namun, aplikasi yang menggunakan sertifikat mungkin mengharuskan tujuan ditunjukkan agar sertifikat dapat diterima.

Jika sertifikat berisi bidang penggunaan kunci dan bidang penggunaan kunci yang diperluas seperti penting maka kedua bidang harus diproses secara independen, dan sertifikat dapat digunakan hanya untuk tujuan yang memenuhi kedua nilai penggunaan kunci. Namun, jika tidak ada tujuan yang dapat memenuhi kedua nilai penggunaan kunci, maka sertifikat itu tidak boleh digunakan untuk tujuan apa pun.

Saat Anda mendapatkan sertifikat, pastikan bahwa sertifikat tersebut memiliki penggunaan kunci yang tepat sebagaimana ditentukan untuk memenuhi persyaratan untuk sertifikat klien atau server yang tanpanya TLS handshake akan gagal.

Tujuan Penggunaan kunci

(wajib)

Penggunaan kunci yang diperpanjang

(opsional)

Sertifikat entity server yang digunakan di keystore dari host virtual Apigee Edge
  • Tanda tangan digital
  • Penyandian kunci atau perjanjian kunci
Autentikasi server Web TLS
Sertifikat entity klien yang digunakan di truststore of virtual host Apigee Edge
  • Tanda tangan digital atau perjanjian kunci
Autentikasi klien Web TLS
Sertifikat entity server yang digunakan di truststore server target Apigee Edge
  • Tanda tangan digital
  • Penyandian kunci atau perjanjian kunci
Autentikasi server Web TLS
Sertifikat entity klien yang digunakan di keystore server target Apigee Edge
  • Tanda tangan digital atau perjanjian kunci
Autentikasi klien Web TLS
Intermediate certificate dan root certificate
  • Tanda sertifikat
  • Tanda daftar pencabutan sertifikat (CRL)

Sebelum memulai

Sebelum menggunakan langkah-langkah dalam dokumen ini, pastikan Anda memahami topik berikut:

  • Jika Anda tidak terbiasa dengan rantai sertifikat, baca Rantai kepercayaan.
  • Jika Anda tidak terbiasa dengan perpustakaan OpenSSL, baca OpenSSL
  • Jika Anda ingin mempelajari lebih lanjut ekstensi penggunaan kunci dan penggunaan kunci yang diperpanjang, baca RFC5280.
  • Jika Anda ingin menggunakan contoh command line dalam panduan ini, instal atau update ke versi versi klien OpenSSL
  • Pastikan sertifikat dalam format PEM. Jika tidak, mengonversi sertifikat ke format PEM.

Memvalidasi tujuan sertifikat

Bagian ini menjelaskan langkah-langkah yang digunakan untuk memvalidasi tujuan sertifikat.

  1. Login ke server tempat OpenSSL tersedia.
  2. Untuk mendapatkan penggunaan kunci dari sertifikat, jalankan perintah OpenSSL berikut:
    openssl x509 -noout -ext keyUsage < certificate

    Dengan certificate adalah nama sertifikat.

    Contoh output

    openssl x509 -noout -ext keyUsage < entity.pem
    X509v3 Key Usage: critical
        Digital Signature, Key Encipherment
    
    openssl x509 -noout -ext keyUsage < intermediate.pem
    X509v3 Key Usage: critical
        Certificate Sign, CRL Sign
  3. Jika penggunaan kunci bersifat wajib, maka akan didefinisikan sebagai penting sebagai berikut:
    openssl x509 -noout -ext keyUsage < intermediate.pem
    X509v3 Key Usage: critical
        Certificate Sign, CRL Sign
  4. Jalankan perintah berikut untuk mendapatkan extended key usage bagi sertifikat. Jika penggunaan kunci yang diperpanjang tidak ditetapkan sebagai kritis, maka itu merupakan rekomendasi dan bukan mandat.
    openssl x509 -noout -ext extendedKeyUsage < certificate

    Dengan certificate adalah nama sertifikat.

    Contoh output

    openssl x509 -noout -ext extendedKeyUsage < entity.pem
    X509v3 Extended Key Usage:
        TLS Web Server Authentication, TLS Web Client Authentication
    
    openssl x509 -noout -ext extendedKeyUsage < intermediate.pem
    X509v3 Extended Key Usage:
        TLS Web Server Authentication, TLS Web Client Authentication