Anda sedang melihat dokumentasi Apigee Edge.
Buka
Dokumentasi Apigee X. info
Dokumen ini menjelaskan cara memvalidasi tujuan sertifikat sebelum Anda menguploadnya ke keystore atau truststore. Proses ini mengandalkan OpenSSL untuk validasi dan berlaku pada setiap lingkungan di mana OpenSSL tersedia.
Sertifikat TLS umumnya diterbitkan dengan satu atau beberapa tujuan yang dapat digunakan. Biasanya ini dilakukan untuk membatasi jumlah operasi yang kunci publiknya berisi dalam sertifikat dapat digunakan. Tujuan sertifikat ini tersedia di: ekstensi sertifikat:
- Penggunaan kunci
- Penggunaan kunci yang diperpanjang
Penggunaan kunci
Ekstensi penggunaan kunci menentukan tujuan (misalnya, enkripsi, tanda tangan, atau penandatanganan sertifikat) dari kunci yang terkandung dalam sertifikat. Jika kunci publik digunakan untuk maka ekstensi sertifikat harus memiliki data penggunaan kunci Tanda tangan digital.
Berbagai ekstensi penggunaan kunci yang tersedia untuk sertifikat TLS yang dibuat menggunakan Proses {i>Certificate Authority<i} (CA) adalah sebagai berikut:
- Tanda tangan digital
- Anti penyangkalan
- Penyandian kunci
- Penyandian data
- Perjanjian utama
- Penandatanganan sertifikat
- Penandatanganan CRL
- Khusus penyandian
- Menguraikan saja
Untuk informasi selengkapnya tentang ekstensi penggunaan kunci ini, lihat RFC5280, Penggunaan Kunci.
Penggunaan kunci yang diperpanjang
Ekstensi ini menunjukkan satu atau beberapa tujuan di mana kunci publik tersertifikasi dapat digunakan, sebagai tambahan atau sebagai pengganti tujuan dasar yang ditunjukkan dalam ekstensi penggunaan utama. Di beberapa umum, ekstensi ini hanya akan muncul di sertifikat entitas akhir.
Beberapa ekstensi penggunaan kunci yang diperluas yang umum adalah sebagai berikut:
-
TLS Web server authentication -
TLS Web client authentication -
anyExtendedKeyUsage
Kunci yang diperpanjang dapat bersifat penting atau tidak penting.
- Jika ekstensi bersifat penting, sertifikat hanya boleh digunakan untuk aktivitas yang ditunjukkan atau tujuan-tujuan. Jika sertifikat digunakan untuk tujuan lain, maka sertifikat tersebut melanggar kebijakan CA.
- Jika ekstensi bersifat tidak penting, ini menunjukkan tujuan atau maksud kuncinya bersifat informatif dan tidak menyiratkan bahwa CA membatasi penggunaan kunci untuk tujuan yang ditunjukkan. Namun, aplikasi yang menggunakan sertifikat mungkin mengharuskan tujuan ditunjukkan agar sertifikat dapat diterima.
Jika sertifikat berisi bidang penggunaan kunci dan bidang penggunaan kunci yang diperluas seperti penting maka kedua bidang harus diproses secara independen, dan sertifikat dapat digunakan hanya untuk tujuan yang memenuhi kedua nilai penggunaan kunci. Namun, jika tidak ada tujuan yang dapat memenuhi kedua nilai penggunaan kunci, maka sertifikat itu tidak boleh digunakan untuk tujuan apa pun.
Saat Anda mendapatkan sertifikat, pastikan bahwa sertifikat tersebut memiliki penggunaan kunci yang tepat sebagaimana ditentukan untuk memenuhi persyaratan untuk sertifikat klien atau server yang tanpanya TLS handshake akan gagal.
Penggunaan kunci yang direkomendasikan dan penggunaan kunci yang diperpanjang untuk sertifikat yang digunakan di Apigee Edge
| Tujuan |
Penggunaan kunci
(wajib) |
Penggunaan kunci yang diperpanjang
(opsional) |
| Sertifikat entity server yang digunakan di keystore dari host virtual Apigee Edge |
|
Autentikasi server Web TLS |
| Sertifikat entity klien yang digunakan di truststore of virtual host Apigee Edge |
|
Autentikasi klien Web TLS |
| Sertifikat entity server yang digunakan di truststore server target Apigee Edge |
|
Autentikasi server Web TLS |
| Sertifikat entity klien yang digunakan di keystore server target Apigee Edge |
|
Autentikasi klien Web TLS |
| Intermediate certificate dan root certificate |
|
Sebelum memulai
Sebelum menggunakan langkah-langkah dalam dokumen ini, pastikan Anda memahami topik berikut:
- Jika Anda tidak terbiasa dengan rantai sertifikat, baca Rantai kepercayaan.
- Jika Anda tidak terbiasa dengan perpustakaan OpenSSL, baca OpenSSL
- Jika Anda ingin mempelajari lebih lanjut ekstensi penggunaan kunci dan penggunaan kunci yang diperpanjang, baca RFC5280.
- Jika Anda ingin menggunakan contoh command line dalam panduan ini, instal atau update ke versi versi klien OpenSSL
- Pastikan sertifikat dalam format PEM. Jika tidak, mengonversi sertifikat ke format PEM.
Memvalidasi tujuan sertifikat
Bagian ini menjelaskan langkah-langkah yang digunakan untuk memvalidasi tujuan sertifikat.
- Login ke server tempat OpenSSL tersedia.
-
Untuk mendapatkan penggunaan kunci dari sertifikat, jalankan perintah OpenSSL berikut:
openssl x509 -noout -ext keyUsage < certificate
Dengan certificate adalah nama sertifikat.
Contoh output
openssl x509 -noout -ext keyUsage < entity.pem X509v3 Key Usage: critical Digital Signature, Key Encipherment openssl x509 -noout -ext keyUsage < intermediate.pem X509v3 Key Usage: critical Certificate Sign, CRL Sign -
Jika penggunaan kunci bersifat wajib, maka akan didefinisikan sebagai penting sebagai berikut:
openssl x509 -noout -ext keyUsage < intermediate.pem X509v3 Key Usage: critical Certificate Sign, CRL Sign -
Jalankan perintah berikut untuk mendapatkan extended key usage bagi sertifikat.
Jika penggunaan kunci yang diperpanjang tidak
ditetapkan sebagai kritis, maka itu merupakan rekomendasi dan
bukan mandat.
openssl x509 -noout -ext extendedKeyUsage < certificate
Dengan certificate adalah nama sertifikat.
Contoh output
openssl x509 -noout -ext extendedKeyUsage < entity.pem X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication openssl x509 -noout -ext extendedKeyUsage < intermediate.pem X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication