Como validar o certificado do cliente em relação ao truststore

Esta é a documentação do Apigee Edge.
Acesse Documentação da Apigee X. informações

Este documento explica como verificar se os certificados do cliente corretos foram carregados aos roteadores Apigee Edge. O processo de validação de certificados depende do OpenSSL, que é o mecanismo usado pelo NGINX nos roteadores Apigee Edge.

Qualquer incompatibilidade nos certificados enviados pelos aplicativos cliente como parte da solicitação de API e os certificados armazenados nos roteadores Apigee Edge levam a 400 Solicitação inválida - erros de certificado SSL. Validar os certificados usando o processo descritos neste documento podem ajudar você a detectar proativamente esses problemas e evitar qualquer de certificado no ambiente de execução.

Antes de começar

Antes de usar as etapas deste documento, é preciso entender os seguintes tópicos:

  • Se você não conhece a biblioteca OpenSSL, leia OpenSSL (link em inglês).
  • Para usar os exemplos de linha de comando neste guia, instale ou atualize para a versão mais recente versão do cliente OpenSSL (link em inglês).
  • Verifique se os certificados estão no formato PEM. Caso contrário, converter os certificados para o formato PEM (em inglês).

Como validar certificados do cliente em relação ao truststore em roteadores Apigee

Esta seção descreve as etapas usadas para verificar se os certificados do cliente são idênticos aos certificados armazenados no truststore nos roteadores Apigee Edge.

  1. Faça login em uma das máquinas do roteador.
  2. Navegue até a pasta /opt/nginx/conf.d, onde os certificados estão armazenados o truststore dos roteadores do Apigee Edge.
  3. Identifique o truststore para o qual você gostaria de validar os certificados do cliente. O nome do truststore está no seguinte formato: 
    org-env-virtualhost-client.pem

    Em que:

    • org é o nome da sua organização da Apigee.
    • env é o nome do ambiente da Apigee.
    • virtualhost é o nome do host virtual da Apigee.

      • Por exemplo, para validar o seguinte:

      • Organização: myorg
      • Ambiente: test
      • Host virtual: secure

      O nome do truststore é: myorg-test-secure-client.pem

  4. Na sua máquina local, transfira o certificado do cliente que você quer validar. ao diretório /tmp no roteador, usando scp, sftp ou qualquer outro utilitário.

    Por exemplo, use o comando scp da seguinte maneira: 

    scp client_cert.pem router-host:/tmp

    Em que router-host é o nome da máquina roteador.

  5. Verifique o certificado do cliente usando o OpenSSL da seguinte maneira: 
    openssl verify -trusted org-env-virtualhost-client.pem /tmp/client-cert.pem

    Em que:

    • org é o nome da sua organização da Apigee.
    • env é o nome do ambiente da Apigee.
    • virtualhost é o nome do host virtual da Apigee.

  6. Corrija todos os erros retornados pelo comando acima.

    Se o truststore no roteador Apigee Edge não tiver os certificados corretos, exclua e faça o upload dos certificados corretos em formato PEM para o truststore usando este Faça upload do certificado para a API truststore.