শংসাপত্রের উদ্দেশ্য যাচাইকরণ

আপনি Apigee Edge ডকুমেন্টেশন দেখছেন।
Apigee X ডকুমেন্টেশন দেখুন।

এই দস্তাবেজটি ব্যাখ্যা করে যে আপনি একটি কীস্টোর বা ট্রাস্টস্টোরে শংসাপত্র আপলোড করার আগে একটি শংসাপত্রের উদ্দেশ্য কীভাবে যাচাই করবেন৷ প্রক্রিয়াটি যাচাইকরণের জন্য OpenSSL-এর উপর নির্ভর করে এবং OpenSSL উপলব্ধ যে কোনো পরিবেশে প্রযোজ্য।

TLS শংসাপত্রগুলি সাধারণত এক বা একাধিক উদ্দেশ্যে জারি করা হয় যার জন্য সেগুলি ব্যবহার করা যেতে পারে। সাধারণত শংসাপত্রে থাকা একটি সর্বজনীন কী ব্যবহার করা যেতে পারে এমন অপারেশনের সংখ্যা সীমাবদ্ধ করার জন্য এটি করা হয়। শংসাপত্রের উদ্দেশ্য নিম্নলিখিত শংসাপত্রের এক্সটেনশনগুলিতে উপলব্ধ:

  • কী ব্যবহার
  • বর্ধিত কী ব্যবহার

কী ব্যবহার

কী ব্যবহার এক্সটেনশন শংসাপত্রে থাকা কীটির উদ্দেশ্য (উদাহরণস্বরূপ, এনসিফারমেন্ট, স্বাক্ষর, বা শংসাপত্র স্বাক্ষর) সংজ্ঞায়িত করে। যদি সত্তা প্রমাণীকরণের জন্য সর্বজনীন কী ব্যবহার করা হয়, তাহলে শংসাপত্রের এক্সটেনশনের কী ব্যবহার ডিজিটাল স্বাক্ষর থাকা উচিত।

সার্টিফিকেট অথরিটি (CA) প্রক্রিয়া ব্যবহার করে তৈরি করা একটি TLS শংসাপত্রের জন্য উপলব্ধ বিভিন্ন কী ব্যবহারের এক্সটেনশনগুলি নিম্নরূপ:

  • ডিজিটাল স্বাক্ষর
  • অ প্রত্যাখ্যান
  • কী এনসিফারমেন্ট
  • ডেটা এনসিফারমেন্ট
  • মূল চুক্তি
  • শংসাপত্র স্বাক্ষর
  • সিআরএল স্বাক্ষর
  • শুধুমাত্র এনসিফার করুন
  • শুধুমাত্র পাঠোদ্ধার করুন

এই কী ব্যবহার এক্সটেনশনগুলি সম্পর্কে আরও তথ্যের জন্য, RFC5280, কী ব্যবহার দেখুন।

বর্ধিত কী ব্যবহার

এই এক্সটেনশনটি এক বা একাধিক উদ্দেশ্য নির্দেশ করে যার জন্য সার্টিফাইড পাবলিক কী ব্যবহার করা যেতে পারে, কী ব্যবহার এক্সটেনশনে নির্দেশিত মৌলিক উদ্দেশ্যগুলির পাশাপাশি বা তার জায়গায়। সাধারণভাবে, এই এক্সটেনশনটি শুধুমাত্র শেষ সত্তা শংসাপত্রগুলিতে প্রদর্শিত হবে।

কিছু সাধারণ বর্ধিত কী ব্যবহারের এক্সটেনশনগুলি নিম্নরূপ:

  • TLS Web server authentication
  • TLS Web client authentication
  • anyExtendedKeyUsage

একটি বর্ধিত কী সমালোচনামূলক বা অ-গুরুত্বপূর্ণ হতে পারে।

  • যদি এক্সটেনশনটি জটিল হয়, শংসাপত্রটি শুধুমাত্র নির্দেশিত উদ্দেশ্য বা উদ্দেশ্যে ব্যবহার করা আবশ্যক৷ যদি শংসাপত্রটি অন্য উদ্দেশ্যে ব্যবহার করা হয়, তবে তা CA এর নীতির লঙ্ঘন।
  • যদি এক্সটেনশনটি অ-সমালোচনামূলক হয়, তাহলে এটি নির্দেশ করে যে কীটির উদ্দেশ্য বা উদ্দেশ্য তথ্যমূলক এবং এটি বোঝায় না যে CA নির্দেশিত উদ্দেশ্যে কীটির ব্যবহার সীমাবদ্ধ করে। যাইহোক, শংসাপত্রগুলি ব্যবহার করে এমন অ্যাপ্লিকেশনগুলির প্রয়োজন হতে পারে যে শংসাপত্রটি গ্রহণযোগ্য হওয়ার জন্য একটি নির্দিষ্ট উদ্দেশ্য নির্দেশ করা হবে।

যদি একটি শংসাপত্রে কী ব্যবহার ক্ষেত্র এবং বর্ধিত কী ব্যবহারের ক্ষেত্র উভয়ই গুরুত্বপূর্ণ হিসাবে থাকে তবে উভয় ক্ষেত্রই স্বাধীনভাবে প্রক্রিয়া করা উচিত, এবং শংসাপত্রটি কেবলমাত্র এমন উদ্দেশ্যে ব্যবহার করা যেতে পারে যা উভয় কী ব্যবহারের মানকে সন্তুষ্ট করে। যাইহোক, যদি এমন কোন উদ্দেশ্য না থাকে যা উভয় মূল ব্যবহারের মানকে সন্তুষ্ট করতে পারে, তাহলে সেই শংসাপত্রটি অবশ্যই কোনো উদ্দেশ্যে ব্যবহার করা যাবে না।

আপনি যখন একটি শংসাপত্র সংগ্রহ করেন, তখন নিশ্চিত করুন যে এটিতে ক্লায়েন্ট বা সার্ভার শংসাপত্রের প্রয়োজনীয়তা পূরণ করার জন্য সঠিক কী ব্যবহার সংজ্ঞায়িত করা হয়েছে যা ছাড়া TLS হ্যান্ডশেক ব্যর্থ হবে।

উদ্দেশ্য কী ব্যবহার

(বাধ্যতামূলক)

বর্ধিত কী ব্যবহার

(ঐচ্ছিক)

ভার্চুয়াল হোস্টের Apigee Edge কীস্টোরে ব্যবহৃত সার্ভার সত্তা শংসাপত্র
  • ডিজিটাল স্বাক্ষর
  • কী এনসিফারমেন্ট বা কী চুক্তি
TLS ওয়েব সার্ভার প্রমাণীকরণ
ভার্চুয়াল হোস্টের Apigee Edge ট্রাস্টস্টোরে ব্যবহৃত ক্লায়েন্ট সত্তা শংসাপত্র
  • ডিজিটাল স্বাক্ষর বা মূল চুক্তি
TLS ওয়েব ক্লায়েন্ট প্রমাণীকরণ
লক্ষ্য সার্ভারের Apigee Edge ট্রাস্টস্টোরে ব্যবহৃত সার্ভার সত্তা শংসাপত্র
  • ডিজিটাল স্বাক্ষর
  • কী এনসিফারমেন্ট বা কী চুক্তি
TLS ওয়েব সার্ভার প্রমাণীকরণ
লক্ষ্য সার্ভারের Apigee Edge কীস্টোরে ব্যবহৃত ক্লায়েন্ট সত্তা শংসাপত্র
  • ডিজিটাল স্বাক্ষর বা মূল চুক্তি
TLS ওয়েব ক্লায়েন্ট প্রমাণীকরণ
ইন্টারমিডিয়েট এবং রুট সার্টিফিকেট
  • সার্টিফিকেট সাইন
  • সার্টিফিকেট প্রত্যাহার তালিকা (CRL) চিহ্ন

তুমি শুরু করার আগে

আপনি এই নথিতে পদক্ষেপগুলি ব্যবহার করার আগে, আপনি নিম্নলিখিত বিষয়গুলি বুঝতে পেরেছেন তা নিশ্চিত করুন:

  • আপনি যদি শংসাপত্রের চেইনের সাথে পরিচিত না হন তবে চেইন অফ ট্রাস্ট পড়ুন।
  • আপনি যদি OpenSSL লাইব্রেরির সাথে পরিচিত না হন, তাহলে OpenSSL পড়ুন
  • আপনি যদি কী ব্যবহার এক্সটেনশন এবং বর্ধিত কী ব্যবহার সম্পর্কে আরও জানতে চান, RFC5280 পড়ুন।
  • আপনি যদি এই নির্দেশিকায় কমান্ড-লাইনের উদাহরণগুলি ব্যবহার করতে চান, তাহলে OpenSSL ক্লায়েন্টের সর্বশেষ সংস্করণে ইনস্টল বা আপডেট করুন
  • শংসাপত্রগুলি PEM ফর্ম্যাটে রয়েছে তা নিশ্চিত করুন এবং যদি না হয় তবে শংসাপত্রগুলিকে PEM ফর্ম্যাটে রূপান্তর করুন

সার্টিফিকেটের উদ্দেশ্য যাচাই করুন

এই বিভাগটি শংসাপত্রের উদ্দেশ্য যাচাই করতে ব্যবহৃত পদক্ষেপগুলি বর্ণনা করে।

  1. সার্ভারে লগইন করুন যেখানে OpenSSL বিদ্যমান।
  2. একটি শংসাপত্রের মূল ব্যবহার পেতে, নিম্নলিখিত OpenSSL কমান্ডটি চালান:
    openssl x509 -noout -ext keyUsage < certificate
    

    যেখানে certificate হল সার্টিফিকেটের নাম।

    নমুনা আউটপুট

    openssl x509 -noout -ext keyUsage < entity.pem
    X509v3 Key Usage: critical
        Digital Signature, Key Encipherment
    
    openssl x509 -noout -ext keyUsage < intermediate.pem
    X509v3 Key Usage: critical
        Certificate Sign, CRL Sign
    
  3. যদি একটি কী ব্যবহার বাধ্যতামূলক হয়, তাহলে এটিকে নিম্নরূপ গুরুত্বপূর্ণ হিসাবে সংজ্ঞায়িত করা হবে:
    openssl x509 -noout -ext keyUsage < intermediate.pem
    X509v3 Key Usage: critical
        Certificate Sign, CRL Sign
    
  4. একটি শংসাপত্রের জন্য বর্ধিত কী ব্যবহার পেতে নিম্নলিখিত কমান্ডটি চালান। যদি বর্ধিত কী ব্যবহারকে সমালোচনামূলক হিসাবে সংজ্ঞায়িত না করা হয়, তবে এটি একটি সুপারিশ এবং আদেশ নয়।
    openssl x509 -noout -ext extendedKeyUsage < certificate
    

    যেখানে certificate হল সার্টিফিকেটের নাম।

    নমুনা আউটপুট

    openssl x509 -noout -ext extendedKeyUsage < entity.pem
    X509v3 Extended Key Usage:
        TLS Web Server Authentication, TLS Web Client Authentication
    
    openssl x509 -noout -ext extendedKeyUsage < intermediate.pem
    X509v3 Extended Key Usage:
        TLS Web Server Authentication, TLS Web Client Authentication