Stai visualizzando la documentazione di Apigee Edge.
Vai alla
documentazione di Apigee X. informazioni
Questo documento spiega come verificare che siano stati caricati i certificati client corretti sui router Apigee Edge. Il processo di convalida dei certificati si basa su OpenSSL, che è il meccanismo sottostante utilizzato da NGINX sui router Apigee Edge.
Qualsiasi mancata corrispondenza tra i certificati inviati dalle applicazioni client nell'ambito della richiesta API e i certificati archiviati sui router Apigee Edge causeranno errore 400 Richiesta non valida - Certificato SSL. La convalida dei certificati utilizzando il processo descritto in questo documento può aiutarti a rilevare proattivamente questi problemi e prevenire eventuali errori dei certificati in fase di runtime.
Prima di iniziare
Prima di seguire la procedura descritta in questo documento, assicurati di comprendere i seguenti argomenti:
- Se non hai dimestichezza con la libreria OpenSSL, leggi OpenSSL.
- Se vuoi utilizzare gli esempi di riga di comando di questa guida, installa o aggiorna il client OpenSSL all'ultima versione.
- Assicurati che i certificati siano in formato PEM. In caso contrario, convertili in formato PEM.
Convalida dei certificati client rispetto all'archivio attendibilità sui router Apigee
Questa sezione descrive i passaggi utilizzati per verificare che i certificati client siano identici a quelli archiviati nell'archivio attendibilità sui router Apigee Edge.
- Accedi a una delle macchine router.
-
Vai alla cartella
/opt/nginx/conf.d
, dove sono archiviati i certificati nell'archivio di attendibilità dei router Apigee Edge. -
Identifica l'archivio attendibilità per il quale vuoi convalidare i certificati client.
Il nome dell'archivio attendibilità ha il seguente formato:
org-env-virtualhost-client.pem
Dove:
- org è il nome della tua organizzazione Apigee
- env è il nome del tuo ambiente Apigee
- virtualhost è il nome dell'host virtuale Apigee
-
Organizzazione:
myorg
-
Ambiente:
test
-
Host virtuale:
secure
Ad esempio, per convalidare quanto segue:
Il nome dell'archivio attendibilità è:
myorg-test-secure-client.pem
- Dalla macchina locale, trasferisci il certificato client effettivo che vuoi convalidare nella directory
/tmp
sul router, utilizzandoscp
,sftp
o qualsiasi altra utilità.Ad esempio, utilizza il comando
scp
nel seguente modo:scp client_cert.pem router-host:/tmp
Dove router-host è il nome della macchina router.
-
Verifica il certificato client utilizzando OpenSSL come segue:
openssl verify -trusted org-env-virtualhost-client.pem /tmp/client-cert.pem
Dove:
- org è il nome della tua organizzazione Apigee
- env è il nome del tuo ambiente Apigee
- virtualhost è il nome dell'host virtuale Apigee
-
Correggi gli eventuali errori restituiti dal comando precedente.
Se l'archivio attendibilità sul router Apigee Edge non contiene i certificati corretti, elimina e carica i certificati corretti in formato PEM nell'archivio attendibilità utilizzando l'articolo Carica il certificato nell'API truststore.