מטרת האישור מתבצעת

כרגע מוצג התיעוד של Apigee Edge.
כניסה למסמכי התיעוד של Apigee X. מידע

במסמך הזה מוסבר איך לאמת את מטרת האישור לפני שמעלים את האישור ל-Keystore או ל-Truststore. התהליך מסתמך על OpenSSL לאימות, והוא רלוונטי בכל סביבה שבה OpenSSL זמין.

אישורי TLS מונפקים בדרך כלל למטרה אחת או יותר שלגביה ניתן להשתמש בהם. בדרך כלל עושים זאת כדי להגביל את מספר הפעולות שעבורן ניתן להשתמש במפתח ציבורי שכלול באישור. מטרת האישור זמינה בתוספי האישורים הבאים:

  • שימוש במפתחות
  • שימוש מורחב במַפְתח

שימוש במפתחות

בתוסף השימוש במפתחות מוגדרת המטרה (לדוגמה, קידוד, חתימה או חתימת אישור) של המפתח שכלול באישור. אם המפתח הציבורי משמש לאימות ישויות, תוסף האישור צריך לכלול את הגדרת השימוש במפתח Digital signature.

אלו הם התוספים השונים לשימוש במפתחות שזמינים לאישור TLS שנוצר באמצעות התהליך של רשות האישורים (CA):

  • דיגיטלית.
  • מניעת הכחשה
  • קידוד מַפְתח
  • קידוד נתונים
  • הסכם מפתחות
  • חתימה על אישור
  • חתימה על CRL
  • הצפנה בלבד
  • פענוח בלבד

אפשר לקרוא מידע נוסף על תוספי השימוש במפתחות במאמר RFC5280, שימוש במפתחות.

שימוש מורחב במַפְתח

התוסף הזה מציין מטרה אחת או יותר שלשמן ניתן להשתמש במפתח הציבורי המאושר, בנוסף למטרות הבסיסיות שמצוינות בתוסף השימוש במפתחות או במקום המטרות הבסיסיות שצוינו. באופן כללי, התוסף הזה יופיע רק באישורים של ישויות קצה.

דוגמאות לתוספים מורחבים נפוצים לשימוש במפתחות:

  • TLS Web server authentication
  • TLS Web client authentication
  • anyExtendedKeyUsage

מפתח מורחב יכול להיות קריטי או לא קריטי.

  • אם התוסף קריטי, יש להשתמש באישור רק למטרה או למטרות שצוינו. אם האישור משמש למטרה אחרת, הוא מפר את המדיניות של ה-CA.
  • אם התוסף לא קריטי, פירוש הדבר שהמטרה או המטרות של המפתח הן לידיעה בלבד, ולא משתמע כי רשות האישורים מגבילה את השימוש במפתח למטרה שצוינה. עם זאת, ייתכן שאפליקציות שמשתמשות באישורים יחייבו לציין מטרה מסוימת כדי שהאישור יתקבל.

אם אישור מכיל את השדה המורחב לשימוש במפתחות ואת השדה המורחב לשימוש במפתח כקריטי, צריך לעבד את שני השדות בנפרד ואפשר להשתמש באישור רק למטרה שעונה על שני ערכי השימוש במפתחות. עם זאת, אם אין מטרה שיכולה להתאים לשני ערכי השימוש במפתחות, לא ניתן להשתמש באישור הזה לשום מטרה.

כשרוכשים אישור, צריך לוודא שמוגדר בו שימוש הולם במפתחות, כדי לתת מענה לדרישות לגבי אישורי לקוח או שרת, שאחרת לחיצת היד בפרוטוקול TLS תיכשל.

מטרה שימוש במפתחות

(חובה)

שימוש מורחב במפתח

(אופציונלי)

אישור ישות השרת שבו נעשה שימוש ב-Apigee Edge מאגר מפתחות של מארח וירטואלי
  • דיגיטלית.
  • קידוד מַפְתח או הסכם מפתחות
אימות שרת האינטרנט TLS (אבטחת שכבת התעבורה)
אישור ישות הלקוח שנעשה בו שימוש ב-Apigee Edge Truststore של מארח וירטואלי
  • חתימה דיגיטלית או הסכם מפתח
אימות לקוח אינטרנט באמצעות TLS (אבטחת שכבת התעבורה)
אישור ישות השרת שבו נעשה שימוש ב-Apigee Edge Truststore של שרת היעד
  • דיגיטלית.
  • קידוד מַפְתח או הסכם מפתחות
אימות שרת האינטרנט TLS (אבטחת שכבת התעבורה)
אישור ישות הלקוח במאגר המפתחות של שרת היעד ב-Apigee Edge
  • חתימה דיגיטלית או הסכם מפתח
אימות לקוח אינטרנט באמצעות TLS (אבטחת שכבת התעבורה)
אישורי ביניים ואישורי בסיס
  • סימן אישור
  • סימן רשימת אישורים (CRL)

לפני שמתחילים

לפני שמבצעים את השלבים במסמך הזה, חשוב להבין את הנושאים הבאים:

  • לא יודעים מה זה שרשרת אישורים? כדאי לקרוא את המאמר שרשרת אישורים.
  • אם אתם לא מכירים את ספריית OpenSSL, כדאי לקרוא את OpenSSL
  • במאמר RFC5280 אפשר לקרוא מידע נוסף על תוספי שימוש במפתחות ועל שימוש מורחב במפתחות.
  • כדי להשתמש בדוגמאות של שורת הפקודה במדריך הזה, צריך להתקין את הגרסה האחרונה של לקוח OpenSSL או לעדכן אותה
  • צריך לוודא שהאישורים הם בפורמט PEM, ואם לא, ממירים אותם לפורמט PEM.

אימות של מטרת האישור

בקטע הזה מתוארים השלבים לאימות מטרת האישור.

  1. נכנסים לשרת שבו קיים OpenSSL.
  2. כדי להשתמש במפתח באישורים, מריצים את פקודת OpenSSL הבאה: 
    openssl x509 -noout -ext keyUsage < certificate

    כאשר certificate הוא שם האישור.

    פלט לדוגמה 

    openssl x509 -noout -ext keyUsage < entity.pem
X509v3 Key Usage: critical
    Digital Signature, Key Encipherment

openssl x509 -noout -ext keyUsage < intermediate.pem
X509v3 Key Usage: critical
    Certificate Sign, CRL Sign
  3. אם חובה להשתמש במפתח, הוא יוגדר כקריטי כך: 
    openssl x509 -noout -ext keyUsage < intermediate.pem
X509v3 Key Usage: critical
    Certificate Sign, CRL Sign
  4. מריצים את הפקודה הבאה כדי לקבל את השימוש המורחב במפתחות לאישור. אם השימוש במפתח המורחב לא מוגדר כקריטי, זו המלצה ולא ייפוי כוח. 
    openssl x509 -noout -ext extendedKeyUsage < certificate

    כאשר certificate הוא שם האישור.

    פלט לדוגמה 

    openssl x509 -noout -ext extendedKeyUsage < entity.pem
X509v3 Extended Key Usage:
    TLS Web Server Authentication, TLS Web Client Authentication

openssl x509 -noout -ext extendedKeyUsage < intermediate.pem
X509v3 Extended Key Usage:
    TLS Web Server Authentication, TLS Web Client Authentication