Vous consultez la documentation d'Apigee Edge.
Consultez la
documentation Apigee X. en savoir plus
Ce document explique comment vérifier que les certificats client corrects ont été importés dans les routeurs Apigee Edge. Le processus de validation des certificats repose sur OpenSSL, qui est le mécanisme sous-jacent utilisé par NGINX sur les routeurs Apigee Edge.
Toute incohérence entre les certificats envoyés par les applications clientes dans le cadre de la requête API et les certificats stockés sur les routeurs Apigee Edge entraîne l'apparition d' erreurs 400 Bad Request - SSL Certificate. La validation des certificats à l'aide du processus décrit dans ce document peut vous aider à détecter de manière proactive ces problèmes et à éviter toute erreur de certificat au moment de l'exécution.
Avant de commencer
Avant de suivre la procédure décrite dans ce document, assurez-vous de bien comprendre les sujets suivants:
- Si vous ne connaissez pas bien la bibliothèque OpenSSL, consultez la page OpenSSL.
- Si vous souhaitez utiliser les exemples de ligne de commande de ce guide, installez ou mettez à jour la dernière version du client OpenSSL.
- Assurez-vous que les certificats sont au format PEM. Si ce n'est pas le cas, convertissez-les au format PEM.
Valider des certificats client avec un Truststore sur les routeurs Apigee
Cette section décrit la procédure à suivre pour vérifier que les certificats client sont identiques aux certificats stockés dans le magasin de confiance sur les routeurs Apigee Edge.
- Connectez-vous à l'une des machines routeur.
-
Accédez au dossier
/opt/nginx/conf.d
, où les certificats sont stockés dans le Truststore des routeurs Apigee Edge. -
Identifiez le magasin de confiance pour lequel vous souhaitez valider les certificats client.
Le nom du magasin de confiance est au format suivant :
org-env-virtualhost-client.pem
Où :
- org est le nom de votre organisation Apigee.
- env est le nom de votre environnement Apigee.
- virtualhost est le nom de votre hôte virtuel Apigee.
-
Organisation :
myorg
-
Environnement :
test
-
Hôte virtuel:
secure
Par exemple, pour valider les éléments suivants:
Le nom du Trustedstore est:
myorg-test-secure-client.pem
- À partir de votre ordinateur local, transférez le certificat client réel que vous souhaitez valider dans le répertoire
/tmp
du routeur, à l'aide descp
,sftp
ou de tout autre utilitaire.Par exemple, exécutez la commande
scp
comme suit:scp client_cert.pem router-host:/tmp
Où router-host est le nom de la machine routeur.
-
Vérifiez le certificat client à l'aide d'OpenSSL comme suit :
openssl verify -trusted org-env-virtualhost-client.pem /tmp/client-cert.pem
Où :
- org est le nom de votre organisation Apigee.
- env est le nom de votre environnement Apigee.
- virtualhost est le nom de votre hôte virtuel Apigee.
-
Corrigez toutes les erreurs renvoyées par la commande ci-dessus.
Si le magasin de confiance du routeur Apigee Edge ne contient pas les certificats appropriés, supprimez et importez les certificats appropriés au format PEM dans le magasin de confiance à l'aide de l'article Importer le certificat dans l'API Truststore.