این صفحه به‌وسیله ‏Cloud Translation API‏ ترجمه شده است.

هدف گواهی اعتبار سنجی

شما در حال مشاهده اسناد Apigee Edge هستید.
به مستندات Apigee X بروید . اطلاعات

این سند توضیح می دهد که چگونه می توان هدف یک گواهی را قبل از آپلود گواهی در یک فروشگاه کلید یا یک فروشگاه اعتماد تأیید کرد. این فرآیند برای اعتبارسنجی به OpenSSL متکی است و در هر محیطی که OpenSSL در دسترس است قابل اجرا است.

گواهی‌های TLS معمولاً با یک یا چند هدف صادر می‌شوند که می‌توان از آنها استفاده کرد. معمولاً این کار برای محدود کردن تعداد عملیاتی انجام می‌شود که می‌توان از کلید عمومی موجود در گواهی استفاده کرد. هدف گواهی در پسوندهای گواهی زیر موجود است:

استفاده از کلید
استفاده از کلید گسترده

استفاده از کلید

پسوند استفاده از کلید هدف (مثلاً رمزگذاری، امضا یا امضای گواهی) کلید موجود در گواهی را مشخص می کند. اگر از کلید عمومی برای احراز هویت موجودیت استفاده می شود، پسوند گواهی باید دارای کلید استفاده از امضای دیجیتال باشد.

پسوندهای مختلف استفاده از کلید موجود برای یک گواهی TLS ایجاد شده با استفاده از فرآیند مرجع صدور گواهی (CA) به شرح زیر است:

امضای دیجیتال
عدم انکار
رمزگذاری کلید
رمزگذاری داده ها
توافق کلیدی
امضای گواهی
امضای CRL
فقط رمزگذاری
فقط رمزگشایی

برای اطلاعات بیشتر در مورد این افزونه‌های استفاده از کلید، RFC5280، استفاده از کلید را ببینید.

استفاده از کلید گسترده

این برنامه افزودنی یک یا چند هدف را نشان می دهد که کلید عمومی تایید شده ممکن است برای آنها استفاده شود، علاوه بر یا به جای اهداف اصلی نشان داده شده در پسوند استفاده از کلید. به طور کلی، این پسوند فقط در گواهی های موجودیت نهایی ظاهر می شود.

برخی از پسوندهای رایج استفاده از کلید توسعه یافته به شرح زیر است:

TLS Web server authentication
TLS Web client authentication
anyExtendedKeyUsage

یک کلید توسعه یافته می تواند بحرانی یا غیر بحرانی باشد.

اگر برنامه افزودنی حیاتی است، گواهی باید فقط برای هدف یا اهداف مشخص شده استفاده شود. اگر از گواهی برای هدف دیگری استفاده شود، نقض خط‌مشی CA است.
اگر برنامه افزودنی غیر بحرانی باشد، نشان می دهد که هدف یا اهداف کلید اطلاعاتی است و به این معنا نیست که CA استفاده از کلید را به هدف مشخص شده محدود می کند. با این حال، برنامه‌هایی که از گواهی‌ها استفاده می‌کنند ممکن است نیاز داشته باشند که هدف خاصی مشخص شود تا گواهی قابل قبول باشد.

اگر یک گواهی شامل فیلد استفاده از کلید و فیلد استفاده از کلید توسعه‌یافته به‌عنوان حیاتی باشد، هر دو فیلد باید به طور مستقل پردازش شوند و گواهی می‌تواند فقط برای هدفی استفاده شود که هر دو مقدار استفاده کلید را برآورده کند. با این حال، اگر هدفی وجود نداشته باشد که بتواند هر دو مقدار استفاده کلیدی را برآورده کند، آن گواهی نباید برای هیچ هدفی استفاده شود.

هنگامی که گواهی را تهیه می کنید، اطمینان حاصل کنید که استفاده از کلید مناسب برای برآورده کردن الزامات گواهی های سرویس گیرنده یا سرور تعریف شده است که بدون آن، دست دادن TLS با شکست مواجه می شود.

استفاده از کلیدهای پیشنهادی و کاربردهای کلید توسعه یافته برای گواهی های مورد استفاده در Apigee Edge

هدف	استفاده از کلید (اجباری)	استفاده از کلید گسترده (اختیاری)
گواهی موجودیت سرور مورد استفاده در فروشگاه کلید Apigee Edge میزبان مجازی	امضای دیجیتال رمزگذاری کلید یا توافق کلید	احراز هویت سرور وب TLS
گواهی نهاد مشتری مورد استفاده در فروشگاه اعتماد Apigee Edge میزبان مجازی	امضای دیجیتال یا قرارداد کلید	احراز هویت سرویس گیرنده وب TLS
گواهی موجودیت سرور مورد استفاده در فروشگاه اعتماد Apigee Edge سرور مورد نظر	امضای دیجیتال رمزگذاری کلید یا توافق کلید	احراز هویت سرور وب TLS
گواهی نهاد مشتری استفاده شده در فروشگاه کلید Apigee Edge سرور مورد نظر	امضای دیجیتال یا قرارداد کلید	احراز هویت سرویس گیرنده وب TLS
گواهینامه های متوسط و ریشه	علامت گواهی علامت لیست ابطال گواهی (CRL).

قبل از شروع

قبل از استفاده از مراحل این سند، مطمئن شوید که موضوعات زیر را درک کرده اید:

اگر با زنجیره گواهی آشنایی ندارید، زنجیره اعتماد را بخوانید.
اگر با کتابخانه OpenSSL آشنایی ندارید، OpenSSL را بخوانید
اگر می‌خواهید درباره برنامه‌های افزودنی استفاده از کلید و استفاده گسترده از کلید بیشتر بدانید، RFC5280 را بخوانید.
اگر می‌خواهید از نمونه‌های خط فرمان در این راهنما استفاده کنید، آخرین نسخه کلاینت OpenSSL را نصب یا به‌روزرسانی کنید
اطمینان حاصل کنید که گواهی ها در قالب PEM هستند و در غیر این صورت، گواهی ها را به فرمت PEM تبدیل کنید .

هدف گواهی را تأیید کنید

این بخش مراحلی را که برای تایید هدف گواهی استفاده می شود، شرح می دهد.

به سروری که OpenSSL وجود دارد وارد شوید.

برای دریافت کلید استفاده از یک گواهی، دستور OpenSSL زیر را اجرا کنید:

openssl x509 -noout -ext keyUsage < certificate

جایی که certificate نام گواهی است.

خروجی نمونه

openssl x509 -noout -ext keyUsage < entity.pem
X509v3 Key Usage: critical
    Digital Signature, Key Encipherment

openssl x509 -noout -ext keyUsage < intermediate.pem
X509v3 Key Usage: critical
    Certificate Sign, CRL Sign

اگر استفاده از کلید اجباری باشد، آنگاه به صورت حیاتی تعریف می شود:
```
openssl x509 -noout -ext keyUsage < intermediate.pem
X509v3 Key Usage: critical
    Certificate Sign, CRL Sign
```
دستور زیر را برای دریافت استفاده از کلید توسعه یافته برای یک گواهی اجرا کنید. اگر استفاده از کلید توسعه‌یافته به‌عنوان حیاتی تعریف نشده باشد، این یک توصیه است و نه یک دستور.
```
openssl x509 -noout -ext extendedKeyUsage < certificate
```
جایی که certificate نام گواهی است.
خروجی نمونه
```
openssl x509 -noout -ext extendedKeyUsage < entity.pem
X509v3 Extended Key Usage:
    TLS Web Server Authentication, TLS Web Client Authentication

openssl x509 -noout -ext extendedKeyUsage < intermediate.pem
X509v3 Extended Key Usage:
    TLS Web Server Authentication, TLS Web Client Authentication
```