جارٍ التحقّق من صحة الغرض من الشهادة

أنت تعرض مستندات Apigee Edge.
انتقل إلى مستندات Apigee X. معلومات

يشرح هذا المستند كيفية التحقق من صحة غرض الشهادة قبل تحميل الشهادة إلى ملف تخزين مفاتيح أو مخزن شهادات. تعتمد العملية على OpenSSL للتحقق ويمكن تطبيقها على أي بيئة تتوفر بها مكتبة OpenSSL.

يتم إصدار شهادات بروتوكول أمان طبقة النقل (TLS) بوجه عام لغرض واحد أو أكثر يمكن استخدامها من أجلها. يتم ذلك عادةً لتقييد عدد العمليات التي يحتوي عليها مفتاح عام في الشهادة. يتوفر الغرض من الشهادة في ما يلي امتدادات الشهادات:

  • استخدام المفتاح
  • استخدام مفتاح موسَّع

استخدام المفتاح

تحدد إضافة استخدام المفاتيح الغرض (على سبيل المثال، التشفير أو التوقيع أو توقيع الشهادة) للمفتاح المضمن في الشهادة. إذا تم استخدام المفتاح العام مصادقة الكيان، فينبغي أن تتضمن إضافة الشهادة الاستخدام الرئيسي التوقيع الرقمي:

تتوفر إضافات استخدام المفاتيح المختلفة لشهادة بروتوكول أمان طبقة النقل (TLS) التي يتم إنشاؤها باستخدام عملية مرجع التصديق (CA) هي كما يلي:

  • التوقيع الرقمي
  • عدم الإنكار
  • تشفير المفتاح
  • تشفير البيانات
  • الاتفاقية الرئيسية
  • توقيع الشهادات
  • توقيع قائمة الشهادات الباطلة (CRL)
  • التشفير فقط
  • فك التشفير فقط

لمزيد من المعلومات حول إضافات الاستخدام الرئيسية هذه، يمكنك الاطّلاع على RFC5280، استخدام المفتاح:

استخدام مفتاح موسَّع

تشير هذه الإضافة إلى غرض واحد أو أكثر يمكن أن يُستخدم من أجله المفتاح العام المعتمد، إلى الأغراض الأساسية المشار إليها في إضافة استخدام المفتاح أو بدلاً منها. ضِمن عامة، لن تظهر هذه الإضافة إلا في شهادات الكيان النهائي.

في ما يلي بعض الإضافات الشائعة لاستخدام المفاتيح الموسّعة:

  • TLS Web server authentication
  • TLS Web client authentication
  • anyExtendedKeyUsage

يمكن أن يكون المفتاح الموسَّع إما حرجًا أو غير مهم.

  • وإذا كانت الإضافة حرجة، يجب استخدام الشهادة للحقل المُشار إليه فقط الغرض أو الأغراض. إذا تم استخدام الشهادة لغرض آخر، فهذا يعني أنها تنتهك سياسة مرجع التصديق.
  • إذا كانت الإضافة غير مهمة، فإنها تشير إلى الغرض أو الأغراض المقصودة من المفتاح معلوماتي ولا يشير ضمنًا إلى أن مرجع التصديق يقصر استخدام المفتاح على المشار إليه. ومع ذلك، قد تتطلب التطبيقات التي تستخدم شهادات أن يكون لديك عنصر لكي تكون الشهادة مقبولة.

إذا كانت الشهادة تحتوي على كل من حقل استخدام المفتاح وحقل استخدام المفتاح الموسَّع كما يلي: يجب معالجة كلا الحقلين بشكل مستقل، ويمكن استخدام الشهادة فقط لغرض يفي بقيم استخدام المفتاحَين كلا. ومع ذلك، إذا لم تكن هناك يمكن أن يفي بقيمتي الاستخدام الرئيسيتين، فيجب ألا يتم استخدام هذه الشهادة لأي غرض.

عند شراء شهادة، تأكد من تحديد استخدام المفتاح الصحيح لتلبية هذه المتطلبات متطلبات شهادات العميل أو الخادم التي بدونها لن تنجح عملية تأكيد اتصال بروتوكول أمان طبقة النقل (TLS).

Purpose استخدام المفتاح

(إلزامي)

استخدام المفتاح الموسَّع

(اختياري)

شهادة كيان الخادم المستخدَمة في مخزن مفاتيح المضيف الافتراضي في Apigee Edge
  • التوقيع الرقمي
  • ترميز المفتاح أو اتفاقية المفتاح
مصادقة خادم الويب لبروتوكول أمان طبقة النقل (TLS)
شهادة كيان العميل المستخدَمة في الثقة في المضيف الافتراضي في Apigee Edge
  • التوقيع الرقمي أو اتفاقية المفتاح
مصادقة عميل الويب عبر بروتوكول أمان طبقة النقل (TLS)
شهادة كيان الخادم المستخدَمة في الثقة في الخادم الهدف في Apigee Edge
  • التوقيع الرقمي
  • ترميز المفتاح أو اتفاقية المفتاح
مصادقة خادم الويب لبروتوكول أمان طبقة النقل (TLS)
شهادة كيان العميل المستخدَمة في مخزن مفاتيح الخادم الهدف في Apigee Edge
  • التوقيع الرقمي أو اتفاقية المفتاح
مصادقة عميل الويب عبر بروتوكول أمان طبقة النقل (TLS)
الشهادات المتوسطة والشهادات الجذرية
  • علامة الشهادة
  • علامة قائمة الشهادات الباطلة (CRL)

قبل البدء

قبل استخدام الخطوات الواردة في هذا المستند، احرص على فهم المواضيع التالية:

  • إذا لم تكن على دراية بسلسلة الشهادات، يمكنك الاطّلاع على: سلسلة الثقة:
  • إذا لم تكن على دراية بمكتبة OpenSSL، يُرجى قراءة OpenSSL
  • إذا أردت معرفة المزيد من المعلومات حول إضافات استخدام المفاتيح واستخدام المفاتيح الممتدة، يُرجى الاطّلاع على RFC5280:
  • إذا أردت استخدام أمثلة سطر الأوامر في هذا الدليل، عليك تثبيت أحدث إصدار أو تحديثه. إصدار برنامج OpenSSL
  • يُرجى التأكُّد من أنّ الشهادات بتنسيق PEM وإذا لم تكن كذلك، تحويل الشهادات إلى تنسيق PEM

التحقّق من صحة الغرض من الشهادة

يصف هذا القسم الخطوات المستخدمة للتحقق من صحة الغرض من الشهادة.

  1. سجّل الدخول إلى الخادم حيث يوجد OpenSSL.
  2. للحصول على الاستخدامات الرئيسية لشهادة، شغِّل أمر OpenSSL التالي: 
    openssl x509 -noout -ext keyUsage < certificate

    يكون certificate هو اسم الشهادة.

    نموذج الناتج 

    openssl x509 -noout -ext keyUsage < entity.pem
X509v3 Key Usage: critical
    Digital Signature, Key Encipherment

openssl x509 -noout -ext keyUsage < intermediate.pem
X509v3 Key Usage: critical
    Certificate Sign, CRL Sign
  3. إذا كان استخدام المفتاح إلزاميًا، سيتم تعريفه بأنّه بالغ الأهمية على النحو التالي: 
    openssl x509 -noout -ext keyUsage < intermediate.pem
X509v3 Key Usage: critical
    Certificate Sign, CRL Sign
  4. شغِّل الأمر التالي للحصول على استخدام المفتاح الموسّع لإحدى الشهادات. إذا لم يتم تعريف استخدام المفتاح الموسع على أنه بالغ الأهمية، فعندئذٍ نقترح وليس تكليفًا. 
    openssl x509 -noout -ext extendedKeyUsage < certificate

    يكون certificate هو اسم الشهادة.

    نموذج الناتج 

    openssl x509 -noout -ext extendedKeyUsage < entity.pem
X509v3 Extended Key Usage:
    TLS Web Server Authentication, TLS Web Client Authentication

openssl x509 -noout -ext extendedKeyUsage < intermediate.pem
X509v3 Extended Key Usage:
    TLS Web Server Authentication, TLS Web Client Authentication