Apigee Edge belgelerini görüntülüyorsunuz.
Apigee X belgelerine gidin. bilgi
Bu belgede, sertifikayı bir anahtar deposuna veya güven deposuna yüklemeden önce sertifikanın amacını nasıl doğrulayacağınız açıklanmaktadır. Bu işlem, doğrulama için OpenSSL'yi kullanır ve OpenSSL'nin kullanılabildiği tüm ortamlarda geçerlidir.
TLS sertifikaları genellikle bir veya daha fazla amaçla yayınlanır. Bu işlem genellikle sertifikada yer alan bir ortak anahtarın kullanılabileceği işlemlerin sayısını kısıtlamak için yapılır. Sertifikanın amacı aşağıdaki sertifika uzantılarında kullanılabilir:
- Anahtar kullanımı
- Uzatılmış anahtar kullanımı
Anahtar kullanımı
Anahtar kullanım uzantısı, sertifikada yer alan anahtarın amacını (örneğin şifreleme, imza veya sertifika imzalama) tanımlar. Varlık kimlik doğrulaması için ortak anahtar kullanılıyorsa sertifika uzantısı, Dijital imza anahtar kullanımına sahip olmalıdır.
Sertifika Yetkilisi (CA) süreci kullanılarak oluşturulmuş bir TLS sertifikası için kullanılabilen farklı anahtar kullanım uzantıları aşağıdaki gibidir:
- Dijital imza
- İnkar edilemez
- Anahtar şifreleme
- Veri şifreleme
- Anahtar anlaşması
- Sertifika imzalama
- CRL imzalama
- Yalnızca şifrele
- Yalnızca şifre çözme
Bu anahtar kullanım uzantıları hakkında daha fazla bilgi için RFC5280, Anahtar Kullanımı bölümüne bakın.
Uzatılmış anahtar kullanımı
Bu uzantı, sertifikalı ortak anahtarın, anahtar kullanım uzantısında belirtilen temel amaçlara ek olarak veya bunun yerine kullanılabileceği bir veya daha fazla amacı belirtir. Genel olarak, bu uzantı yalnızca son varlık sertifikalarında görünür.
Genişletilmiş anahtar kullanımıyla ilgili yaygın uzantılardan bazıları şunlardır:
-
TLS Web server authentication
-
TLS Web client authentication
-
anyExtendedKeyUsage
Genişletilmiş anahtarlar kritik veya kritik olmayan olabilir.
- Uzantı kritikse sertifika yalnızca belirtilen amaç veya amaçlar için kullanılmalıdır. Sertifika başka bir amaçla kullanılıyorsa CA'nın politikasını ihlal eder.
- Uzantı kritik öneme sahip değilse anahtarın amaçlanan amacının veya amaçlarının bilgi amaçlı olduğunu belirtir ve CA'nın anahtar kullanımını belirtilen amaçla kısıtladığı ima edilmez. Ancak, sertifika kullanan uygulamalarda, sertifikanın kabul edilebilir olması için belirli bir amacın belirtilmesi gerekebilir.
Bir sertifika hem anahtar kullanım alanını hem de genişletilmiş anahtar kullanım alanını kritik olarak içeriyorsa her iki alanın da bağımsız olarak işlenmesi gerekir ve sertifika yalnızca her iki anahtar kullanım değerini de karşılayan bir amaçla kullanılabilir. Bununla birlikte, her iki anahtar kullanım değerini de karşılayabilecek bir amaç yoksa bu sertifika herhangi bir amaçla kullanılmamalıdır.
Bir sertifika tedarik ederken, TLS el sıkışmanın başarısız olacağı istemci veya sunucu sertifikası gereksinimlerini karşılayacak şekilde, sertifikanın doğru anahtar kullanımının tanımlandığından emin olun.
Apigee Edge'de kullanılan sertifikalar için önerilen anahtar kullanımı ve genişletilmiş anahtar kullanımları
Purpose |
Anahtar kullanımı
(zorunlu) |
Uzatılmış anahtar kullanımı
(optional) |
Apigee Edge sanal ana makine anahtar deposunda kullanılan sunucu varlık sertifikası |
|
TLS Web sunucusu kimlik doğrulaması |
Apigee Edge sanal ana makine güven deposunda kullanılan istemci varlık sertifikası |
|
TLS Web istemcisi kimlik doğrulaması |
Apigee Edge hedef sunucunun güven deposunda kullanılan sunucu varlık sertifikası |
|
TLS Web sunucusu kimlik doğrulaması |
Apigee Edge hedef sunucunun anahtar deposunda kullanılan istemci varlık sertifikası |
|
TLS Web istemcisi kimlik doğrulaması |
Ara ve kök sertifikalar |
|
Başlamadan önce
Bu belgedeki adımları kullanmadan önce aşağıdaki konuları anladığınızdan emin olun:
- Sertifika zinciri hakkında bilginiz yoksa Güven zinciri konusunu okuyun.
- OpenSSL kitaplığına aşina değilseniz OpenSSL konusuna bakın
- Anahtar kullanımı uzantıları ve genişletilmiş anahtar kullanımı hakkında daha fazla bilgi edinmek istiyorsanız RFC5280 sayfasını okuyun.
- Bu kılavuzdaki komut satırı örneklerini kullanmak istiyorsanız OpenSSL istemcisinin en son sürümünü yükleyin veya güncelleyin.
- Sertifikaların PEM biçiminde olduğundan emin olun. Değilse sertifikaları PEM biçimine dönüştürün.
Sertifikanın amacını doğrulayın
Bu bölümde sertifikanın amacını doğrulamak için kullanılan adımlar açıklanmaktadır.
- OpenSSL'nin bulunduğu sunucuya giriş yapın.
-
Bir sertifikanın anahtar kullanımını almak için aşağıdaki OpenSSL komutunu çalıştırın:
openssl x509 -noout -ext keyUsage < certificate
Burada certificate sertifikanın adıdır.
Örnek çıkış
openssl x509 -noout -ext keyUsage < entity.pem X509v3 Key Usage: critical Digital Signature, Key Encipherment openssl x509 -noout -ext keyUsage < intermediate.pem X509v3 Key Usage: critical Certificate Sign, CRL Sign
-
Zorunlu anahtar kullanımı zorunluysa aşağıdaki şekilde kritik olarak tanımlanır:
openssl x509 -noout -ext keyUsage < intermediate.pem X509v3 Key Usage: critical Certificate Sign, CRL Sign
-
Bir sertifikanın genişletilmiş anahtar kullanımını öğrenmek için aşağıdaki komutu çalıştırın.
Genişletilmiş anahtar kullanımı kritik olarak tanımlanmazsa bu bir emir değil öneridir.
openssl x509 -noout -ext extendedKeyUsage < certificate
Burada certificate sertifikanın adıdır.
Örnek çıkış
openssl x509 -noout -ext extendedKeyUsage < entity.pem X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication openssl x509 -noout -ext extendedKeyUsage < intermediate.pem X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication