คุณกำลังดูเอกสารประกอบของ Apigee Edge
ไปที่เอกสารประกอบของ Apigee X ข้อมูล
เอกสารนี้จะอธิบายวิธีตรวจสอบวัตถุประสงค์ของใบรับรองก่อนที่คุณจะอัปโหลดใบรับรองไปยังคีย์สโตร์หรือ Truststore กระบวนการนี้ใช้ OpenSSL สำหรับการตรวจสอบและใช้ได้กับสภาพแวดล้อมใดก็ได้ที่มี OpenSSL ให้บริการ
โดยทั่วไปแล้ว ใบรับรอง TLS จะออกโดยมีวัตถุประสงค์ดังต่อไปนี้ในการใช้งาน โดยทั่วไปจะทําเพื่อจํากัดจํานวนการดําเนินการที่จะใช้คีย์สาธารณะที่มีอยู่ในใบรับรองได้ วัตถุประสงค์ของใบรับรองมีอยู่ในส่วนขยายใบรับรองต่อไปนี้
- การใช้คีย์
- การใช้งานคีย์ที่ขยาย
การใช้คีย์
ส่วนขยายการใช้งานคีย์จะกำหนดวัตถุประสงค์ (เช่น การเข้ารหัส ลายเซ็น หรือการเซ็นใบรับรอง) ของคีย์ที่อยู่ในใบรับรอง หากใช้คีย์สาธารณะสำหรับการตรวจสอบสิทธิ์เอนทิตี ส่วนขยายใบรับรองควรมีการใช้คีย์ลายเซ็นดิจิทัล
ส่วนขยายการใช้งานคีย์แบบต่างๆ สำหรับใบรับรอง TLS ที่สร้างขึ้นโดยใช้กระบวนการของผู้ออกใบรับรอง (CA) มีดังนี้
- ลายเซ็นดิจิทัล
- การป้องกันการปฏิเสธการชำระเงิน
- การเข้ารหัสคีย์
- การเข้ารหัสข้อมูล
- ข้อตกลงสำคัญ
- การเซ็นใบรับรอง
- การลงชื่อ CRL
- เข้ารหัสเท่านั้น
- ถอดรหัสเท่านั้น
ดูข้อมูลเพิ่มเติมเกี่ยวกับส่วนขยายการใช้งานคีย์เหล่านี้ได้ที่ RFC5280, การใช้คีย์
การใช้งานคีย์ที่ขยาย
ส่วนขยายนี้ระบุวัตถุประสงค์อย่างน้อย 1 ข้อที่สามารถใช้คีย์สาธารณะที่ผ่านการรับรอง นอกเหนือจากหรือแทนที่วัตถุประสงค์พื้นฐานที่ระบุไว้ในส่วนขยายการใช้งานคีย์ โดยทั่วไป ส่วนขยายนี้จะปรากฏเฉพาะในใบรับรองเอนทิตีปลายทางเท่านั้น
ส่วนขยายการใช้งานคีย์เพิ่มเติมทั่วไปบางส่วนมีดังนี้
-
TLS Web server authentication
-
TLS Web client authentication
-
anyExtendedKeyUsage
คีย์แบบขยายอาจเป็นได้ทั้งร้ายแรงหรือไม่สำคัญ
- หากส่วนขยายร้ายแรง ต้องใช้ใบรับรองเพื่อวัตถุประสงค์หรือวัตถุประสงค์ที่ระบุไว้เท่านั้น หากใช้ใบรับรองเพื่อวัตถุประสงค์อื่น จะถือเป็นการละเมิดนโยบายของ CA
- หากส่วนขยายไม่สำคัญ แสดงว่าจุดประสงค์ของคีย์เป็นการให้ข้อมูล และไม่ได้กล่าวเป็นนัยว่า CA จำกัดการใช้คีย์กับวัตถุประสงค์ที่ระบุไว้ อย่างไรก็ตาม แอปพลิเคชันที่ใช้ใบรับรองอาจจำเป็นต้องระบุวัตถุประสงค์บางอย่างเพื่อให้ใบรับรองนั้นได้รับการยอมรับ
หากใบรับรองมีทั้งช่องการใช้งานคีย์และช่องการใช้งานคีย์เพิ่มเติมเป็นส่วนวิกฤต จะต้องประมวลผลทั้ง 2 ช่องแยกกัน และจะใช้ใบรับรองได้ก็ต่อเมื่อเป็นไปตามค่าการใช้งานคีย์ทั้งคู่เท่านั้น อย่างไรก็ตาม หากไม่มีวัตถุประสงค์ที่ตอบสนองต่อค่าการใช้งานคีย์ทั้ง 2 ค่า ก็ต้องไม่ใช้ใบรับรองนั้นเพื่อวัตถุประสงค์ใดๆ
เมื่อคุณจัดหาใบรับรอง โปรดตรวจสอบว่ามีการกำหนดการใช้งานคีย์ที่เหมาะสมเพื่อให้เป็นไปตามข้อกำหนดสำหรับใบรับรองไคลเอ็นต์หรือเซิร์ฟเวอร์โดยที่ไม่มีแฮนด์เชค TLS ล้มเหลว
การใช้งานคีย์ที่แนะนำและการใช้งานคีย์เพิ่มเติมสำหรับใบรับรองที่ใช้ใน Apigee Edge
Purpose |
การใช้งานคีย์
(บังคับ) |
การใช้งานคีย์เพิ่มเติม
(ไม่บังคับ) |
ใบรับรองเอนทิตีเซิร์ฟเวอร์ที่ใช้ในคีย์สโตร์ของโฮสต์เสมือนของ Apigee Edge |
|
การตรวจสอบสิทธิ์เว็บเซิร์ฟเวอร์ TLS |
ใบรับรองเอนทิตีไคลเอ็นต์ที่ใช้ใน Apigee Edge Truststore ของโฮสต์เสมือน |
|
การตรวจสอบสิทธิ์ไคลเอ็นต์ของเว็บ TLS |
ใบรับรองเอนทิตีเซิร์ฟเวอร์ที่ใช้ใน Apigee Edge ความน่าเชื่อถือของเซิร์ฟเวอร์เป้าหมาย |
|
การตรวจสอบสิทธิ์เว็บเซิร์ฟเวอร์ TLS |
ใบรับรองเอนทิตีไคลเอ็นต์ที่ใช้ในคีย์สโตร์ของเซิร์ฟเวอร์เป้าหมาย Apigee Edge |
|
การตรวจสอบสิทธิ์ไคลเอ็นต์ของเว็บ TLS |
ใบรับรองระดับกลางและรูท |
|
ก่อนเริ่มต้น
ก่อนทําตามขั้นตอนในเอกสารฉบับนี้ โปรดทําความเข้าใจหัวข้อต่อไปนี้
- หากคุณไม่คุ้นเคยกับเชนใบรับรอง โปรดอ่านเชนความน่าเชื่อถือ
- หากคุณไม่คุ้นเคยกับไลบรารี OpenSSL โปรดอ่าน OpenSSL
- หากต้องการดูข้อมูลเพิ่มเติมเกี่ยวกับส่วนขยายการใช้งานคีย์และการใช้งานคีย์เพิ่มเติม โปรดอ่าน RFC5280
- หากต้องการใช้ตัวอย่างบรรทัดคำสั่งในคู่มือนี้ ให้ติดตั้งหรืออัปเดตไคลเอ็นต์ OpenSSL เป็นเวอร์ชันล่าสุด
- ตรวจสอบว่าใบรับรองอยู่ในรูปแบบ PEM และหากไม่มี ให้ แปลงใบรับรองเป็นรูปแบบ PEM
ตรวจสอบวัตถุประสงค์ของใบรับรอง
ส่วนนี้จะอธิบายขั้นตอนที่ใช้ตรวจสอบวัตถุประสงค์ของใบรับรอง
- เข้าสู่ระบบเซิร์ฟเวอร์ที่มี OpenSSL อยู่
-
หากต้องการใช้คีย์ของใบรับรอง ให้เรียกใช้คำสั่ง OpenSSL ต่อไปนี้
openssl x509 -noout -ext keyUsage < certificate
โดย certificate คือชื่อของใบรับรอง
ตัวอย่างเอาต์พุต
openssl x509 -noout -ext keyUsage < entity.pem X509v3 Key Usage: critical Digital Signature, Key Encipherment openssl x509 -noout -ext keyUsage < intermediate.pem X509v3 Key Usage: critical Certificate Sign, CRL Sign
-
หากเป็นการใช้งานคีย์ ระบบจะกำหนดให้การใช้งานดังกล่าวมีความสำคัญดังนี้
openssl x509 -noout -ext keyUsage < intermediate.pem X509v3 Key Usage: critical Certificate Sign, CRL Sign
-
เรียกใช้คำสั่งต่อไปนี้เพื่อรับการใช้งานคีย์เพิ่มเติมสำหรับใบรับรอง
หากไม่ได้กำหนดการใช้งานคีย์แบบขยายว่าสำคัญ แสดงว่านี่เป็นคำแนะนำ ไม่ใช่การบังคับบัญชา
openssl x509 -noout -ext extendedKeyUsage < certificate
โดย certificate คือชื่อของใบรับรอง
ตัวอย่างเอาต์พุต
openssl x509 -noout -ext extendedKeyUsage < entity.pem X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication openssl x509 -noout -ext extendedKeyUsage < intermediate.pem X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication