Sertifikanın amacı doğrulanıyor

Apigee Edge belgelerini görüntülüyorsunuz.
. Git: Apigee X belgeleri. bilgi

Bu dokümanda, sertifikayı yüklemeden önce bir sertifikanın amacını nasıl doğrulayacağınız açıklanmaktadır. bir anahtar deposuna ya da güven deposuna bağlayabilirsiniz. Süreç, doğrulama için OpenSSL'yi temel alır ve kullanılabilir OpenSSL'nin kullanılabildiği tüm ortamlarda kullanabilirsiniz.

TLS sertifikaları genellikle kullanılabilecek bir veya daha fazla amaçla yayınlanır. Genellikle bu, ortak anahtarın içerdiği işlemlerin sayısını kısıtlamak için yapılır. kullanılabilir. Sertifikanın amacı aşağıdaki bölümlerde mevcuttur. sertifika uzantıları:

• Anahtar kullanımı
• Uzatılmış anahtar kullanımı

Anahtar kullanımı

Anahtar kullanım uzantısı, amacı tanımlar (örneğin, şifreleme, imza veya sertifika imzalaması gerekir. Ortak anahtar sertifika uzantısında, mevcut varlık kimlik doğrulamasından sonra Dijital imza.

Sertifika yetkilisi (CA) süreci aşağıdaki gibidir:

• Dijital imza
• İnkar edilemez
• Anahtar şifreleme
• Veri şifreleme
• Anahtar anlaşması
• Sertifika imzalama
• CRL imzalama
• Yalnızca şifrele
• Yalnızca şifre çöz

Bu temel kullanım uzantıları hakkında daha fazla bilgi için RFC5280, Anahtar Kullanımı.

Uzatılmış anahtar kullanımı

Bu uzantı, sertifikalı ortak anahtarın kullanılabileceği bir veya daha fazla amacı gösterir. anahtar kullanım uzantısında belirtilen temel amaçlara ek olarak veya bunların yerine. İçinde bu uzantı yalnızca son varlık sertifikalarında görünür.

Genişletilmiş anahtar kullanımı için yaygın olarak kullanılan bazı uzantılar şunlardır:

• TLS Web server authentication
• TLS Web client authentication
• anyExtendedKeyUsage

Genişletilmiş bir anahtar kritik veya kritik olmayan olabilir.

• Uzantı kritik ise sertifika yalnızca belirtilen ya da amaçlara hizmet eder. Sertifika başka bir amaçla kullanılıyorsa bu durum şunları ihlal etmektedir: göz önünde bulundurmalısınız.
• Uzantı kritik değilse bu öğenin kullanım amacını veya amaçlarını anahtar, bilgi verme amaçlıdır ve CA'nın, anahtarın yalnızca belirtilen amacına uygun olmalıdır. Ancak, sertifika kullanan uygulamalar, kabul edilebilir olması için amacın belirtilmesi gerekir.

Bir sertifika, hem anahtar kullanımı alanını hem de genişletilmiş anahtar kullanımı alanını Her iki alanın da bağımsız olarak işlenmesi gerekir ve sertifika, Yalnızca her iki anahtar kullanım değerini de karşılayan bir amaç doğrultusunda kullanılmalıdır. Ancak herhangi bir bir amaca hizmet eden bir başka amaca yönelikse bu sertifika, hiçbir amaca hizmet etmez.

Bir sertifika tedarik ederken, sertifikanın olmadan TLS el sıkışmasının başarısız olacağı istemci veya sunucu sertifikalarının gereksinimlerini karşılamanız gerekir.

Apigee Edge'de kullanılan sertifikalar için önerilen anahtar kullanımı ve genişletilmiş anahtar kullanımları

Purpose	Anahtar kullanımı (zorunlu)	Uzatılmış anahtar kullanımı (isteğe bağlı)
Apigee Edge sanal ana makinenin anahtar deposunda kullanılan sunucu varlığı sertifikası	Dijital imza Anahtar şifreleme veya anahtar anlaşması	TLS Web sunucusu kimlik doğrulaması
Apigee Edge sanal ana makine güven deposunda kullanılan istemci varlık sertifikası	Dijital imza veya anahtar sözleşmesi	TLS Web istemcisi kimlik doğrulaması
Apigee Edge hedef sunucunun güven deposunda kullanılan sunucu varlığı sertifikası	Dijital imza Anahtar şifreleme veya anahtar anlaşması	TLS Web sunucusu kimlik doğrulaması
Apigee Edge hedef sunucunun anahtar deposunda kullanılan istemci varlık sertifikası	Dijital imza veya anahtar sözleşmesi	TLS Web istemcisi kimlik doğrulaması
Ara ve kök sertifikalar	Sertifika işareti Sertifika iptal listesi (CRL) işareti

Başlamadan önce

Bu dokümandaki adımları kullanmadan önce aşağıdaki konuları anladığınızdan emin olun:

• Sertifika zinciri hakkında bilginiz yoksa Güven zinciri.
• OpenSSL kitaplığını bilmiyorsanız lütfen şu bağlantıyı okuyun: OpenSSL
• Anahtar kullanım uzantıları ve uzatılmış anahtar kullanımı hakkında daha fazla bilgi edinmek için RFC5280'e gidin.
• Bu kılavuzdaki komut satırı örneklerini kullanmak istiyorsanız uygulamayı yükleyin veya en güncel sürüme güncelleyin. OpenSSL istemcisinin sürümü
• Sertifikaların PEM biçiminde olduğundan emin olun. Aksi takdirde sertifikalarınızı PEM biçimine dönüştürebilirsiniz.

Sertifikanın amacını doğrulayın

Bu bölümde, sertifikanın amacını doğrulamak için kullanılan adımlar açıklanmaktadır.

1. OpenSSL'nin bulunduğu sunucuya giriş yapın.
2. Bir sertifikanın anahtar kullanımını öğrenmek için aşağıdaki OpenSSL komutunu çalıştırın:

   openssl x509 -noout -ext keyUsage < certificate

   Burada certificate, sertifikanın adıdır.

   Örnek çıkış

   openssl x509 -noout -ext keyUsage < entity.pem
   X509v3 Key Usage: critical
       Digital Signature, Key Encipherment
   
   openssl x509 -noout -ext keyUsage < intermediate.pem
   X509v3 Key Usage: critical
       Certificate Sign, CRL Sign

3. Anahtar kullanımı zorunluysa aşağıdaki şekilde kritik olarak tanımlanır:

   openssl x509 -noout -ext keyUsage < intermediate.pem
   X509v3 Key Usage: critical
       Certificate Sign, CRL Sign

4. Bir sertifikanın genişletilmiş anahtar kullanımını öğrenmek için aşağıdaki komutu çalıştırın. Genişletilmiş anahtar kullanımı kritik olarak tanımlanmamışsa bu bir öneridir ve zorunlu değildir.

   openssl x509 -noout -ext extendedKeyUsage < certificate

   Burada certificate, sertifikanın adıdır.

   Örnek çıkış

   openssl x509 -noout -ext extendedKeyUsage < entity.pem
   X509v3 Extended Key Usage:
       TLS Web Server Authentication, TLS Web Client Authentication
   
   openssl x509 -noout -ext extendedKeyUsage < intermediate.pem
   X509v3 Extended Key Usage:
       TLS Web Server Authentication, TLS Web Client Authentication

ziyaret edin.