Apigee Edge दस्तावेज़ देखा जा रहा है.
Apigee X दस्तावेज़ पर जाएं. जानकारी
इस दस्तावेज़ में बताया गया है कि किसी कीस्टोर या ट्रस्टस्टोर में इस सर्टिफ़िकेट को अपलोड करने से पहले, सर्टिफ़िकेट के मकसद की पुष्टि कैसे की जाती है. यह प्रोसेस, पुष्टि करने के लिए OpenGL पर निर्भर करती है. साथ ही, यह ऐसे सभी एनवायरमेंट पर लागू होती है जहां मिलेगा.
TLS सर्टिफ़िकेट आम तौर पर एक या एक से ज़्यादा मकसद के लिए जारी किए जाते हैं, जिनके लिए उनका इस्तेमाल किया जा सकता है. आम तौर पर, ऐसा उन कार्रवाइयों की संख्या को सीमित करने के लिए किया जाता है जिनके लिए सर्टिफ़िकेट में मौजूद सार्वजनिक कुंजी का इस्तेमाल किया जा सकता है. सर्टिफ़िकेट को इस्तेमाल करने की वजह, इन सर्टिफ़िकेट एक्सटेंशन में उपलब्ध है:
- कुंजी का इस्तेमाल
- बढ़ाया गया 'की' इस्तेमाल
कुंजी का इस्तेमाल
कुंजी के इस्तेमाल के एक्सटेंशन से, सर्टिफ़िकेट में मौजूद कुंजी के मकसद (उदाहरण के लिए, एन्साइफ़रमेंट, सिग्नेचर या सर्टिफ़िकेट पर हस्ताक्षर करना) के बारे में पता चलता है. अगर इकाई की पुष्टि करने के लिए सार्वजनिक कुंजी का इस्तेमाल किया जाता है, तो सर्टिफ़िकेट एक्सटेंशन में कुंजी का इस्तेमाल डिजिटल हस्ताक्षर होना चाहिए.
सर्टिफ़िकेट देने वाली संस्था (सीए) प्रोसेस का इस्तेमाल करके बनाए गए TLS सर्टिफ़िकेट के लिए, मुख्य इस्तेमाल के जो एक्सटेंशन उपलब्ध हैं वे इस तरह हैं:
- डिजिटल हस्ताक्षर
- गैर-अस्वीकरण
- कुंजी को सांकेतिक शब्दों में बदलना
- डेटा को सांकेतिक शब्दों में बदलना
- मुख्य कानूनी समझौता
- सर्टिफ़िकेट पर हस्ताक्षर करना
- सीआरएल पर हस्ताक्षर करना
- सिर्फ़ डिकोडर
- सिर्फ़ Decipher
इन कुंजी के इस्तेमाल के एक्सटेंशन के बारे में ज़्यादा जानकारी के लिए, RFC5280, कुंजी का इस्तेमाल देखें.
बढ़ाया गया 'की' इस्तेमाल
यह एक्सटेंशन, एक या एक से ज़्यादा ऐसे मकसद के बारे में बताता है जिनके लिए 'की' के इस्तेमाल के एक्सटेंशन में बताए गए बुनियादी मकसद के साथ-साथ या उनकी जगह पर, प्रमाणित सार्वजनिक कुंजी का इस्तेमाल किया जा सकता है. आम तौर पर, यह एक्सटेंशन सिर्फ़ असली इकाई के सर्टिफ़िकेट में दिखेगा.
एक्सटेंशन कुंजी के इस्तेमाल के बारे में कुछ सामान्य एक्सटेंशन इस तरह हैं:
-
TLS Web server authentication -
TLS Web client authentication -
anyExtendedKeyUsage
बढ़ाई गई कुंजी या तो ज़रूरी हो सकती है या गैर-ज़रूरी हो सकती है.
- अगर एक्सटेंशन ज़रूरी है, तो सर्टिफ़िकेट का इस्तेमाल सिर्फ़ बताए गए मकसद या मकसद के लिए ही किया जाना चाहिए. अगर इस सर्टिफ़िकेट का इस्तेमाल किसी दूसरे काम के लिए किया जाता है, तो इससे सीए की नीति का उल्लंघन होता है.
- अगर एक्सटेंशन ज़रूरी नहीं है, तो इससे पता चलता है कि कुंजी का मकसद सिर्फ़ जानकारी देना है. साथ ही, यह यह नहीं कहता है कि सीए, बताए गए मकसद के लिए कुंजी के इस्तेमाल पर पाबंदी लगाता है. हालांकि, जिन ऐप्लिकेशन में सर्टिफ़िकेट का इस्तेमाल किया जाता है उनके लिए, सर्टिफ़िकेट को स्वीकार करने के लिए किसी खास मकसद की जानकारी देनी पड़ सकती है.
अगर किसी सर्टिफ़िकेट में कुंजी के इस्तेमाल के लिए फ़ील्ड और एक्सटेंडेड कुंजी के इस्तेमाल के फ़ील्ड, दोनों ज़रूरी हैं, तो दोनों फ़ील्ड को अलग-अलग प्रोसेस किया जाना चाहिए. साथ ही, सर्टिफ़िकेट का इस्तेमाल सिर्फ़ सिर्फ़ उसी मकसद के लिए किया जा सकता है जो दोनों मुख्य इस्तेमाल की वैल्यू के मुताबिक हो. हालांकि, अगर ऐसा कोई मकसद नहीं है जो इस्तेमाल की दोनों मुख्य वैल्यू को पूरा कर सके, तो उस सर्टिफ़िकेट का इस्तेमाल किसी भी मकसद के लिए नहीं किया जाना चाहिए.
सर्टिफ़िकेट खरीदते समय, पक्का करें कि उसमें कुंजी का सही इस्तेमाल तय किया गया हो, ताकि क्लाइंट या सर्वर सर्टिफ़िकेट की उन ज़रूरी शर्तों को पूरा किया जा सके जिनके बिना TLS हैंडशेक काम नहीं कर सकेगा.
Apigee Edge में इस्तेमाल किए गए सर्टिफ़िकेट के लिए, कुंजी के इस्तेमाल और ज़्यादा जानकारी के इस्तेमाल का सुझाव
| मकसद |
मुख्य इस्तेमाल
(ज़रूरी है) |
कुंजी का ज़्यादा इस्तेमाल
(ज़रूरी नहीं) |
| Apigee Edge वर्चुअल होस्ट का कीस्टोर में इस्तेमाल किया गया सर्वर का इकाई सर्टिफ़िकेट |
|
TLS वेब सर्वर की पुष्टि करें |
| Apigee Edge के वर्चुअल होस्ट के ट्रस्टस्टोर में इस्तेमाल किया गया क्लाइंट इकाई का सर्टिफ़िकेट |
|
TLS वेब क्लाइंट की पुष्टि करें |
| Apigee Edge के टारगेट सर्वर के ट्रस्टस्टोर में इस्तेमाल किया गया सर्वर का इकाई सर्टिफ़िकेट |
|
TLS वेब सर्वर की पुष्टि करें |
| Apigee Edge के टारगेट सर्वर का कीस्टोर में इस्तेमाल किया गया क्लाइंट इकाई का सर्टिफ़िकेट |
|
TLS वेब क्लाइंट की पुष्टि करें |
| इंटरमीडिएट और रूट सर्टिफ़िकेट |
|
शुरू करने से पहले
इस दस्तावेज़ में दिए गए चरणों का इस्तेमाल करने से पहले, पक्का करें कि आप इन विषयों को समझ गए हों:
- अगर आपको सर्टिफ़िकेट की चेन के बारे में जानकारी नहीं है, तो चेन ऑफ़ ट्रस्ट पढ़ें.
- अगर आप OpenGL लाइब्रेरी के बारे में नहीं जानते हैं, तो OpenSSL पढ़ें
- अगर आपको कुंजी का इस्तेमाल करने वाले एक्सटेंशन और कुंजी के बढ़े हुए इस्तेमाल के बारे में ज़्यादा जानना है, तो RFC5280 पढ़ें.
- अगर आप इस गाइड में कमांड लाइन के उदाहरणों का इस्तेमाल करना चाहते हैं, तो OpenSSL क्लाइंट का नया वर्शन इंस्टॉल या अपडेट करें
- पक्का करें कि सर्टिफ़िकेट, PEM फ़ॉर्मैट में हों. अगर सर्टिफ़िकेट नहीं हैं, तो सर्टिफ़िकेट को PEM फ़ॉर्मैट में बदलें.
सर्टिफ़िकेट के मकसद की पुष्टि करना
इस सेक्शन में, सर्टिफ़िकेट के मकसद की पुष्टि करने का तरीका बताया गया है.
- उस सर्वर में लॉगिन करें जहां Googlebot मौजूद है.
-
सर्टिफ़िकेट का मुख्य इस्तेमाल जानने के लिए, नीचे दिए गए OpenGL कमांड को चलाएं:
openssl x509 -noout -ext keyUsage < certificate
जहां certificate, सर्टिफ़िकेट का नाम है.
सैंपल आउटपुट
openssl x509 -noout -ext keyUsage < entity.pem X509v3 Key Usage: critical Digital Signature, Key Encipherment openssl x509 -noout -ext keyUsage < intermediate.pem X509v3 Key Usage: critical Certificate Sign, CRL Sign -
अगर किसी कुंजी का इस्तेमाल ज़रूरी है, तो उसे इस तरह से ज़रूरी के तौर पर माना जाएगा:
openssl x509 -noout -ext keyUsage < intermediate.pem X509v3 Key Usage: critical Certificate Sign, CRL Sign -
सर्टिफ़िकेट के लिए कुंजी का ज़्यादा इस्तेमाल करने के लिए, नीचे दिया गया कमांड चलाएं.
अगर कुंजी के बढ़ाए गए इस्तेमाल को ज़रूरी के तौर पर नहीं बताया गया है, तो यह एक सुझाव है,
न कि मैंडेट.
openssl x509 -noout -ext extendedKeyUsage < certificate
जहां certificate, सर्टिफ़िकेट का नाम है.
सैंपल आउटपुट
openssl x509 -noout -ext extendedKeyUsage < entity.pem X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication openssl x509 -noout -ext extendedKeyUsage < intermediate.pem X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication