מטרת האישור מתבצעת

מוצג המסמך של Apigee Edge.
עוברים אל מסמכי תיעוד של Apigee X. מידע

במסמך הזה מוסבר איך לאמת את מטרת האישור לפני שמעלים אותו למאגר מפתחות או למאגר מפתחות. התהליך מסתמך על OpenSSL לאימות, והוא רלוונטי בכל סביבה שבה OpenSSL זמין.

אישורים ל-TLS מונפקים בדרך כלל למטרה אחת או יותר שבשבילה אפשר להשתמש בהם. בדרך כלל עושים זאת כדי להגביל את מספר הפעולות שעבורן מפתח ציבורי באישור. מטרת האישור זמינה בשפות הבאות תוספי אישור:

• שימוש במפתחות
• שימוש מורחב במפתח

שימוש במפתחות

התוסף לשימוש במפתחות מגדיר את המטרה (לדוגמה, הצפנה, חתימה או חתימת אישור) של המפתח שכלול באישור. אם המפתח הציבורי משמש לביצוע אימות ישות, אז תוסף האישור צריך לכלול את השימוש במפתח חתימה דיגיטלית.

התוספים השונים לשימוש במפתח שזמינים לאישור TLS שנוצר באמצעות כך מתבצע תהליך של רשות האישורים (CA):

• דיגיטלית.
• אי-התכחשות
• קידוד מַפְתח
• הצפנת נתונים
• הסכם מפתח
• חתימה על אישור
• חתימת CRL
• הצפנה בלבד
• פענוח בלבד

מידע נוסף על התוספים האלה לשימוש העיקרי זמין בכתובת RFC5280, שימוש במפתחות.

שימוש מורחב במפתח

התוסף הזה מציין מטרה אחת או יותר שבשבילן אפשר להשתמש במפתח הציבורי שאושר, בנוסף או במקום המטרות הבסיסיות שצוינו בתוסף השימוש במפתח. לחשבון באופן כללי, התוסף הזה יופיע רק באישורים של ישות הקצה.

הנה כמה מהתוספים הנפוצים לשימוש במפתחות מורחבים:

• TLS Web server authentication
• TLS Web client authentication
• anyExtendedKeyUsage

מפתח מורחב יכול להיות קריטי או לא קריטי.

• אם התוסף קריטי, יש להשתמש באישור רק עבור למטרה או למטרות. אם האישור משמש למטרה אחרת, הוא מפר מדיניות ה-CA.
• אם התוסף לא קריטי, הוא מציין את המטרה או המטרות של כל המפתח הוא אינפורמטיבי ולא רומז על כך שה-CA מגביל את השימוש במפתח למטרה שצוינה. עם זאת, אפליקציות שמשתמשות באישורים עשויות לדרוש מצוינת כדי שהאישור יתקבל.

אם אישור מכיל גם את שדה השימוש במפתחות וגם את השדה המורחב של השימוש במפתח כ- קריטי, צריך לעבד את שני השדות בנפרד ולהשתמש באישור רק למטרה שעומדת בשני ערכי השימוש המרכזיים. עם זאת, אם אין שיכולה למלא את שני ערכי השימוש העיקריים, אז אין להשתמש באישור הזה לכל מטרה שהיא.

כשרוכשים אישור, צריך לוודא שמוגדר בו שימוש מתאים במפתח כדי לעמוד בדרישות. הדרישות לאישורי לקוח או שרת שאחרת לחיצת היד של TLS תיכשל.

שימושים מומלצים במפתחות ושימושים מורחבים במפתחות לאישורים שנעשה בהם שימוש ב-Apigee Edge

מטרה	שימוש במפתחות (חובה)	שימוש מורחב במפתח (אופציונלי).
אישור ישות שרת שנעשה בו שימוש ב-מאגר מפתחות של מארח וירטואלי ב-Apigee Edge	דיגיטלית. הצפנת מפתח או הסכם מפתח	אימות שרת אינטרנט TLS
אישור ישות לקוח שמשמש ב-Apigee Edge אמינות של מארח וירטואלי ב-Apigee Edge	חתימה דיגיטלית או הסכם מפתח	אימות של לקוח אינטרנט מסוג TLS
אישור ישות שרת שנמצא בשימוש ב-Apigee Edge Truststore של שרת היעד	דיגיטלית. הצפנת מפתח או הסכם מפתח	אימות שרת אינטרנט TLS
אישור של ישות לקוח שנעשה בו שימוש במאגר המפתחות של שרת היעד ב-Apigee Edge	חתימה דיגיטלית או הסכם מפתח	אימות של לקוח אינטרנט מסוג TLS
אישורי ביניים ואישורי בסיס	חתימה על אישור סימן רשימת אישורים שבוטלו (CRL)

לפני שמתחילים

לפני שתשתמשו בשלבים שבמסמך הזה, חשוב שתוודאו שאתם מבינים את הנושאים הבאים:

• אם אתם לא מכירים שרשרת אישורים, אפשר לקרוא את המאמר שרשרת האמון.
• אם אתם לא מכירים את ספריית OpenSSL, עליכם לקרוא את המאמר OpenSSL
• מידע נוסף על תוספים לשימוש במפתח ועל שימוש מורחב במפתחות זמין RFC5280.
• אם ברצונך להשתמש בדוגמאות של שורת הפקודה במדריך הזה, עליך להתקין או לעדכן לגרסה האחרונה גרסה של לקוח OpenSSL
• יש לוודא שהאישורים הם בפורמט PEM. אם לא, צריך להמיר את האישורים לפורמט PEM.

אימות מטרת האישור

בקטע הזה מתוארים השלבים שמשמשים לאימות מטרת האישור.

1. מתחברים לשרת שבו קיים OpenSSL.
2. כדי להשתמש במפתח של אישור, מריצים את פקודת OpenSSL הבאה:

   openssl x509 -noout -ext keyUsage < certificate

   כאשר certificate הוא שם האישור.

   פלט לדוגמה

   openssl x509 -noout -ext keyUsage < entity.pem
   X509v3 Key Usage: critical
       Digital Signature, Key Encipherment
   
   openssl x509 -noout -ext keyUsage < intermediate.pem
   X509v3 Key Usage: critical
       Certificate Sign, CRL Sign

3. אם השימוש במפתח הוא חובה, הוא יוגדר כקריטי באופן הבא:

   openssl x509 -noout -ext keyUsage < intermediate.pem
   X509v3 Key Usage: critical
       Certificate Sign, CRL Sign

4. מריצים את הפקודה הבאה כדי לקבל את השימוש המורחב במפתח באישור. אם השימוש המורחב במפתח לא מוגדר כקריטי, מדובר בהמלצה ולא ייפוי כוח.

   openssl x509 -noout -ext extendedKeyUsage < certificate

   כאשר certificate הוא שם האישור.

   פלט לדוגמה

   openssl x509 -noout -ext extendedKeyUsage < entity.pem
   X509v3 Extended Key Usage:
       TLS Web Server Authentication, TLS Web Client Authentication
   
   openssl x509 -noout -ext extendedKeyUsage < intermediate.pem
   X509v3 Extended Key Usage:
       TLS Web Server Authentication, TLS Web Client Authentication