Convalida del certificato client rispetto all'archivio attendibilità in corso...

Stai visualizzando la documentazione di Apigee Edge.
Vai alla sezione Documentazione di Apigee X. Informazioni

Questo documento spiega come verificare che siano stati caricati i certificati client corretti ai router Apigee Edge. Il processo di convalida dei certificati si basa su OpenSSL, il meccanismo sottostante usato da NGINX sui router Apigee Edge.

Eventuali mancate corrispondenze dei certificati inviati dalle applicazioni client come parte della richiesta API e i certificati archiviati sui router Apigee Edge portano 400 Bad Request - SSL Certificate errors (Richiesta non valida - Errori del certificato SSL). Convalida dei certificati tramite il processo descritti in questo documento possono aiutarti a rilevare in modo proattivo questi problemi e prevenire errori di certificato durante il runtime.

Prima di iniziare

Prima di seguire la procedura descritta in questo documento, assicurati di aver compreso i seguenti argomenti:

  • Se non hai familiarità con la libreria OpenSSL, leggi OpenSSL.
  • Per utilizzare gli esempi a riga di comando presenti in questa guida, installa o esegui l'aggiornamento all'ultima versione all'ultima versione del client OpenSSL.
  • Assicurati che i certificati siano in formato PEM. In caso contrario, convertire i certificati in formato PEM.

Convalida dei certificati client rispetto al truststore sui router Apigee in corso...

In questa sezione vengono descritti i passaggi utilizzati per verificare che i certificati client siano identici a archiviati nell'archivio attendibilità sui router Apigee Edge.

  1. Accedi a una delle macchine router.
  2. Vai alla cartella /opt/nginx/conf.d, in cui sono archiviati i certificati Truststore dei router Apigee Edge.
  3. Identifica il truststore per il quale vuoi convalidare i certificati client. Il nome dell'archivio attendibilità ha il seguente formato: 
    org-env-virtualhost-client.pem

    Dove:

    • org è il nome della tua organizzazione Apigee
    • env è il nome dell'ambiente Apigee
    • virtualhost è il tuo nome host virtuale Apigee

      • Ad esempio, per convalidare quanto segue:

      • Organizzazione: myorg
      • Ambiente: test
      • Host virtuale: secure

      Il nome dell'archivio attendibilità è: myorg-test-secure-client.pem

  4. Dalla tua macchina locale, trasferisci il certificato client effettivo che vuoi convalidare. alla directory /tmp sul router, utilizzando scp, sftp o qualsiasi altra utilità.

    Ad esempio, utilizza il comando scp come segue: 

    scp client_cert.pem router-host:/tmp

    Dove router-host è il nome del router.

  5. Verifica il certificato client utilizzando OpenSSL come segue: 
    openssl verify -trusted org-env-virtualhost-client.pem /tmp/client-cert.pem

    Dove:

    • org è il nome della tua organizzazione Apigee
    • env è il nome dell'ambiente Apigee
    • virtualhost è il tuo nome host virtuale Apigee

  6. Correggi gli eventuali errori restituiti dal comando riportato sopra.

    Se l'archivio attendibilità sul router Apigee Edge non contiene i certificati corretti, eliminare e caricare i certificati corretti in formato PEM nell'archivio di attendibilità utilizzando questo Carica il certificato nell'API Truststore.