Clientzertifikat wird anhand von Truststore validiert

<ph type="x-smartling-placeholder"></ph> Sie sehen die Dokumentation zu Apigee Edge.
Gehen Sie zur Apigee X-Dokumentation. Weitere Informationen

<ph type="x-smartling-placeholder">

In diesem Dokument wird erläutert, wie Sie überprüfen können, ob die richtigen Clientzertifikate hochgeladen wurden zu Apigee Edge Routern. Die Validierung von Zertifikaten beruht auf OpenSSL. Der zugrunde liegende Mechanismus, der von NGINX auf Apigee Edge Routern verwendet wird.

Beliebige Abweichung bei den Zertifikaten, die von den Clientanwendungen als Teil der API-Anfrage gesendet werden und die auf Apigee Edge Routern gespeicherten Zertifikate führen zu <ph type="x-smartling-placeholder"></ph> 400 Ungültige Anfrage – Fehler beim SSL-Zertifikat. Zertifikate mithilfe des Prozesses validieren in diesem Dokument beschrieben, kann Ihnen dabei helfen, diese Probleme proaktiv zu erkennen und Zertifikatsfehler bei der Laufzeit.

<ph type="x-smartling-placeholder">

Hinweis

Bevor Sie die Schritte in diesem Dokument verwenden, machen Sie sich mit den folgenden Themen vertraut:

  • Wenn Sie nicht mit der OpenSSL-Bibliothek vertraut sind, lesen Sie OpenSSL
  • Wenn Sie die Befehlszeilenbeispiele in dieser Anleitung verwenden möchten, installieren Sie sie oder aktualisieren Sie sie auf die neueste Version des OpenSSL-Clients.
  • Achten Sie darauf, dass die Zertifikate im PEM-Format vorliegen. Falls nicht, <ph type="x-smartling-placeholder"></ph> Konvertieren Sie die Zertifikate in das PEM-Format.

Clientzertifikate für Truststore auf Apigee-Routern validieren

In diesem Abschnitt werden die Schritte beschrieben, mit denen überprüft wird, ob die Clientzertifikate identisch sind mit denen, Zertifikate, die im Truststore auf Apigee Edge-Routern gespeichert sind.

  1. Melden Sie sich auf einem der Routermaschinen an.
  2. Öffnen Sie den Ordner /opt/nginx/conf.d, in dem die Zertifikate gespeichert sind. Truststore von Apigee Edge Router.
  3. Ermitteln Sie den Truststore, für den Sie die Clientzertifikate validieren möchten. Der Name des Truststores hat das folgende Format: 
    org-env-virtualhost-client.pem

    Wobei:

    • org ist der Name Ihrer Apigee-Organisation
    • env ist der Name Ihrer Apigee-Umgebung.
    • virtualhost ist Ihr virtueller Apigee-Hostname

      • So überprüfen Sie beispielsweise Folgendes:

      • Organisation: myorg
      • Umgebung: test
      • Virtueller Host: secure

      Der Name des Truststores: myorg-test-secure-client.pem

  4. Übertragen Sie von Ihrem lokalen Computer das tatsächliche Clientzertifikat, das Sie überprüfen möchten. mit scp, sftp in das Verzeichnis /tmp auf dem Router oder einem anderen Dienstprogramm.

    Verwenden Sie beispielsweise den Befehl scp so: 

    scp client_cert.pem router-host:/tmp

    Dabei ist router-host der Name der Routermaschine.

  5. Überprüfen Sie das Clientzertifikat mit OpenSSL wie folgt: 
    openssl verify -trusted org-env-virtualhost-client.pem /tmp/client-cert.pem

    Wobei:

    • org ist der Name Ihrer Apigee-Organisation
    • env ist der Name Ihrer Apigee-Umgebung.
    • virtualhost ist Ihr virtueller Apigee-Hostname

  6. Beheben Sie alle Fehler, die vom Befehl oben zurückgegeben werden.

    Wenn der Truststore auf dem Apigee Edge Router nicht die richtigen Zertifikate enthält, die richtigen Zertifikate im PEM-Format in den Truststore hochladen, Laden Sie das Zertifikat in die Truststore API hoch.

    7. <ph type="x-smartling-placeholder">