Sertifikanın amacı doğrulanıyor

Apigee Edge belgelerini görüntülüyorsunuz.
Apigee X belgelerine gidin. bilgi

Bu belgede, sertifikayı bir anahtar deposuna veya güven deposuna yüklemeden önce sertifikanın amacını nasıl doğrulayacağınız açıklanmaktadır. Bu işlem, doğrulama için OpenSSL'yi kullanır ve OpenSSL'nin kullanılabildiği tüm ortamlarda geçerlidir.

TLS sertifikaları genellikle bir veya daha fazla amaçla yayınlanır. Bu işlem genellikle sertifikada yer alan bir ortak anahtarın kullanılabileceği işlemlerin sayısını kısıtlamak için yapılır. Sertifikanın amacı aşağıdaki sertifika uzantılarında kullanılabilir:

• Anahtar kullanımı
• Uzatılmış anahtar kullanımı

Anahtar kullanımı

Anahtar kullanım uzantısı, sertifikada yer alan anahtarın amacını (örneğin şifreleme, imza veya sertifika imzalama) tanımlar. Varlık kimlik doğrulaması için ortak anahtar kullanılıyorsa sertifika uzantısı, Dijital imza anahtar kullanımına sahip olmalıdır.

Sertifika Yetkilisi (CA) süreci kullanılarak oluşturulmuş bir TLS sertifikası için kullanılabilen farklı anahtar kullanım uzantıları aşağıdaki gibidir:

• Dijital imza
• İnkar edilemez
• Anahtar şifreleme
• Veri şifreleme
• Anahtar anlaşması
• Sertifika imzalama
• CRL imzalama
• Yalnızca şifrele
• Yalnızca şifre çözme

Bu anahtar kullanım uzantıları hakkında daha fazla bilgi için RFC5280, Anahtar Kullanımı bölümüne bakın.

Uzatılmış anahtar kullanımı

Bu uzantı, sertifikalı ortak anahtarın, anahtar kullanım uzantısında belirtilen temel amaçlara ek olarak veya bunun yerine kullanılabileceği bir veya daha fazla amacı belirtir. Genel olarak, bu uzantı yalnızca son varlık sertifikalarında görünür.

Genişletilmiş anahtar kullanımıyla ilgili yaygın uzantılardan bazıları şunlardır:

• TLS Web server authentication
• TLS Web client authentication
• anyExtendedKeyUsage

Genişletilmiş anahtarlar kritik veya kritik olmayan olabilir.

• Uzantı kritikse sertifika yalnızca belirtilen amaç veya amaçlar için kullanılmalıdır. Sertifika başka bir amaçla kullanılıyorsa CA'nın politikasını ihlal eder.
• Uzantı kritik öneme sahip değilse anahtarın amaçlanan amacının veya amaçlarının bilgi amaçlı olduğunu belirtir ve CA'nın anahtar kullanımını belirtilen amaçla kısıtladığı ima edilmez. Ancak, sertifika kullanan uygulamalarda, sertifikanın kabul edilebilir olması için belirli bir amacın belirtilmesi gerekebilir.

Bir sertifika hem anahtar kullanım alanını hem de genişletilmiş anahtar kullanım alanını kritik olarak içeriyorsa her iki alanın da bağımsız olarak işlenmesi gerekir ve sertifika yalnızca her iki anahtar kullanım değerini de karşılayan bir amaçla kullanılabilir. Bununla birlikte, her iki anahtar kullanım değerini de karşılayabilecek bir amaç yoksa bu sertifika herhangi bir amaçla kullanılmamalıdır.

Bir sertifika tedarik ederken, TLS el sıkışmanın başarısız olacağı istemci veya sunucu sertifikası gereksinimlerini karşılayacak şekilde, sertifikanın doğru anahtar kullanımının tanımlandığından emin olun.

Apigee Edge'de kullanılan sertifikalar için önerilen anahtar kullanımı ve genişletilmiş anahtar kullanımları

Purpose	Anahtar kullanımı (zorunlu)	Uzatılmış anahtar kullanımı (optional)
Apigee Edge sanal ana makine anahtar deposunda kullanılan sunucu varlık sertifikası	Dijital imza Anahtar şifreleme veya anahtar anlaşması	TLS Web sunucusu kimlik doğrulaması
Apigee Edge sanal ana makine güven deposunda kullanılan istemci varlık sertifikası	Dijital imza veya anahtar sözleşmesi	TLS Web istemcisi kimlik doğrulaması
Apigee Edge hedef sunucunun güven deposunda kullanılan sunucu varlık sertifikası	Dijital imza Anahtar şifreleme veya anahtar anlaşması	TLS Web sunucusu kimlik doğrulaması
Apigee Edge hedef sunucunun anahtar deposunda kullanılan istemci varlık sertifikası	Dijital imza veya anahtar sözleşmesi	TLS Web istemcisi kimlik doğrulaması
Ara ve kök sertifikalar	Sertifika işareti Sertifika iptal listesi (CRL) işareti

Başlamadan önce

Bu belgedeki adımları kullanmadan önce aşağıdaki konuları anladığınızdan emin olun:

• Sertifika zinciri hakkında bilginiz yoksa Güven zinciri konusunu okuyun.
• OpenSSL kitaplığına aşina değilseniz OpenSSL konusuna bakın
• Anahtar kullanımı uzantıları ve genişletilmiş anahtar kullanımı hakkında daha fazla bilgi edinmek istiyorsanız RFC5280 sayfasını okuyun.
• Bu kılavuzdaki komut satırı örneklerini kullanmak istiyorsanız OpenSSL istemcisinin en son sürümünü yükleyin veya güncelleyin.
• Sertifikaların PEM biçiminde olduğundan emin olun. Değilse sertifikaları PEM biçimine dönüştürün.

Sertifikanın amacını doğrulayın

Bu bölümde sertifikanın amacını doğrulamak için kullanılan adımlar açıklanmaktadır.

1. OpenSSL'nin bulunduğu sunucuya giriş yapın.
2. Bir sertifikanın anahtar kullanımını almak için aşağıdaki OpenSSL komutunu çalıştırın:

   openssl x509 -noout -ext keyUsage < certificate
   

   Burada certificate sertifikanın adıdır.

   Örnek çıkış

   openssl x509 -noout -ext keyUsage < entity.pem
   X509v3 Key Usage: critical
       Digital Signature, Key Encipherment
   
   openssl x509 -noout -ext keyUsage < intermediate.pem
   X509v3 Key Usage: critical
       Certificate Sign, CRL Sign
   

3. Zorunlu anahtar kullanımı zorunluysa aşağıdaki şekilde kritik olarak tanımlanır:

   openssl x509 -noout -ext keyUsage < intermediate.pem
   X509v3 Key Usage: critical
       Certificate Sign, CRL Sign
   

4. Bir sertifikanın genişletilmiş anahtar kullanımını öğrenmek için aşağıdaki komutu çalıştırın. Genişletilmiş anahtar kullanımı kritik olarak tanımlanmazsa bu bir emir değil öneridir.

   openssl x509 -noout -ext extendedKeyUsage < certificate
   

   Burada certificate sertifikanın adıdır.

   Örnek çıkış

   openssl x509 -noout -ext extendedKeyUsage < entity.pem
   X509v3 Extended Key Usage:
       TLS Web Server Authentication, TLS Web Client Authentication
   
   openssl x509 -noout -ext extendedKeyUsage < intermediate.pem
   X509v3 Extended Key Usage:
       TLS Web Server Authentication, TLS Web Client Authentication