Xác thực mục đích của chứng chỉ

Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến Tài liệu về Apigee X. thông tin

Tài liệu này giải thích cách xác thực mục đích của chứng chỉ trước khi bạn tải chứng chỉ lên vào một kho khoá hoặc một kho tin cậy. Quy trình này dựa vào OpenSSL để xác thực và có thể áp dụng trên bất kỳ môi trường nào có OpenSSL.

Chứng chỉ TLS thường được phát hành với một hoặc nhiều mục đích có thể sử dụng. Thông thường, việc này được thực hiện để hạn chế số lượng thao tác có chứa khoá công khai trong chứng chỉ. Mục đích của chứng chỉ này có trong các phần sau đuôi chứng chỉ:

• Sử dụng khoá
• Sử dụng khoá mở rộng

Sử dụng khoá

Tiện ích sử dụng khoá xác định mục đích (ví dụ: mã hoá, chữ ký hoặc ký chứng chỉ) của khoá có trong chứng chỉ. Nếu khoá công khai được dùng cho xác thực thực thể, thì tiện ích chứng chỉ sẽ có cách sử dụng khoá Chữ ký số.

Các tiện ích sử dụng khoá khác nhau hiện có cho chứng chỉ TLS được tạo bằng Quy trình của Tổ chức phát hành chứng chỉ (CA) như sau:

• Chữ ký số
• Không phản đối
• Mã hoá khoá
• Mã hoá dữ liệu
• Thoả thuận về khoá
• Ký chứng chỉ
• Ký CRL
• Chỉ mã hoá
• Chỉ giải mã

Để biết thêm thông tin về các tiện ích sử dụng chính này, hãy xem RFC5280, Việc sử dụng khoá.

Sử dụng khoá mở rộng

Tiện ích này cho biết một hoặc nhiều mục đích có thể sử dụng khoá công khai được chứng nhận, ngoài hoặc thay cho các mục đích cơ bản được nêu trong tiện ích sử dụng chính. Trong nói chung, tiện ích này sẽ chỉ xuất hiện trong chứng chỉ pháp nhân cuối.

Sau đây là một số phần mở rộng phổ biến về việc sử dụng khoá mở rộng:

• TLS Web server authentication
• TLS Web client authentication
• anyExtendedKeyUsage

Khoá mở rộng có thể là quan trọng hoặc không quan trọng.

• Nếu tiện ích quan trọng, bạn chỉ phải sử dụng chứng chỉ cho mục đích. Nếu được sử dụng cho một mục đích khác, thì chứng chỉ này sẽ vi phạm chính sách của CA.
• Nếu tiện ích không quan trọng, thì tiện ích đó cho biết mục đích hay mục đích của khoá này chỉ mang tính chất thông tin và không ngụ ý rằng CA hạn chế việc sử dụng khoá đối với mục đích đã chỉ định. Tuy nhiên, các ứng dụng sử dụng chứng chỉ có thể yêu cầu một mã mục đích cần thiết để chứng chỉ có thể được chấp nhận.

Nếu một chứng chỉ chứa cả trường sử dụng khoá và trường sử dụng khoá mở rộng dưới dạng quan trọng thì cả hai trường phải được xử lý độc lập và có thể sử dụng chứng chỉ chỉ cho mục đích đáp ứng cả hai giá trị sử dụng khoá. Tuy nhiên, nếu không có có thể đáp ứng cả hai giá trị sử dụng chính, thì không được sử dụng chứng chỉ đó cho cho bất kỳ mục đích nào.

Khi bạn mua chứng chỉ, hãy đảm bảo rằng chứng chỉ đó có cách sử dụng khoá thích hợp được xác định để đáp ứng các yêu cầu đối với chứng chỉ máy khách hoặc chứng chỉ máy chủ mà không có cơ chế bắt tay TLS.

Mức sử dụng khoá được đề xuất và thời gian sử dụng khoá mở rộng cho các chứng chỉ dùng trong Apigee Edge

Mục đích	Cách sử dụng chính (bắt buộc)	Sử dụng khoá mở rộng (không bắt buộc)
Chứng chỉ thực thể máy chủ dùng trong kho khoá của máy chủ ảo Apigee Edge	Chữ ký số Mã hoá khoá hoặc thoả thuận về khoá	Xác thực máy chủ web TLS
Chứng chỉ thực thể ứng dụng được dùng trong cửa hàng tin cậy của máy chủ ảo Apigee Edge	Chữ ký số hoặc thoả thuận về khoá	Xác thực ứng dụng khách web TLS
Chứng chỉ thực thể máy chủ dùng trong kho tin cậy của máy chủ mục tiêu Apigee Edge	Chữ ký số Mã hoá khoá hoặc thoả thuận về khoá	Xác thực máy chủ web TLS
Chứng chỉ thực thể ứng dụng được dùng trong kho khoá của máy chủ mục tiêu Apigee Edge	Chữ ký số hoặc thoả thuận về khoá	Xác thực ứng dụng khách web TLS
Chứng chỉ gốc và chứng chỉ trung gian	Ký hiệu chứng chỉ Ký hiệu danh sách thu hồi chứng chỉ (CRL)

Trước khi bắt đầu

Trước khi làm theo các bước trong tài liệu này, hãy đảm bảo bạn hiểu rõ các chủ đề sau:

• Nếu bạn chưa hiểu rõ về chuỗi chứng chỉ, hãy đọc Chuỗi niềm tin.
• Nếu bạn chưa hiểu rõ về thư viện OpenSSL, hãy đọc bài viết này OpenSSL
• Nếu bạn muốn tìm hiểu thêm về các tiện ích sử dụng chính và việc sử dụng khoá mở rộng, hãy đọc RFC5280.
• Nếu bạn muốn sử dụng các ví dụ về dòng lệnh trong hướng dẫn này, hãy cài đặt hoặc cập nhật lên phiên bản mới nhất phiên bản của ứng dụng OpenSSL
• Đảm bảo chứng chỉ ở định dạng PEM và nếu không, chuyển đổi chứng chỉ sang định dạng PEM.

Xác thực mục đích của chứng chỉ

Phần này mô tả các bước được dùng để xác thực mục đích của chứng chỉ.

1. Đăng nhập vào máy chủ nơi có OpenSSL.
2. Để biết trường hợp sử dụng khoá của một chứng chỉ, hãy chạy lệnh OpenSSL sau:

   openssl x509 -noout -ext keyUsage < certificate

   Trong đó certificate là tên của chứng chỉ.

   Kết quả mẫu

   openssl x509 -noout -ext keyUsage < entity.pem
   X509v3 Key Usage: critical
       Digital Signature, Key Encipherment
   
   openssl x509 -noout -ext keyUsage < intermediate.pem
   X509v3 Key Usage: critical
       Certificate Sign, CRL Sign

3. Nếu một trường hợp sử dụng khoá là bắt buộc, thì trường hợp này sẽ được định nghĩa là quan trọng như sau:

   openssl x509 -noout -ext keyUsage < intermediate.pem
   X509v3 Key Usage: critical
       Certificate Sign, CRL Sign

4. Chạy lệnh sau để sử dụng khoá mở rộng cho một chứng chỉ. Nếu mức sử dụng khoá mở rộng không được xác định là quan trọng, thì đó là đề xuất và không phải là uỷ nhiệm chi.

   openssl x509 -noout -ext extendedKeyUsage < certificate

   Trong đó certificate là tên của chứng chỉ.

   Kết quả mẫu

   openssl x509 -noout -ext extendedKeyUsage < entity.pem
   X509v3 Extended Key Usage:
       TLS Web Server Authentication, TLS Web Client Authentication
   
   openssl x509 -noout -ext extendedKeyUsage < intermediate.pem
   X509v3 Extended Key Usage:
       TLS Web Server Authentication, TLS Web Client Authentication