针对信任库验证客户端证书

<ph type="x-smartling-placeholder"></ph> 您正在查看 Apigee Edge 文档。
转到 Apigee X 文档
信息

<ph type="x-smartling-placeholder">

本文档介绍了如何验证是否已上传正确的客户端证书 Apigee Edge 路由器验证证书的过程依赖于 OpenSSL, NGINX 在 Apigee Edge Router 上使用的基础机制。

由客户端应用作为 API 请求一部分发送的证书的任何不匹配问题 而存储在 Apigee Edge Router 上的证书将会导致 <ph type="x-smartling-placeholder"></ph> 400 Bad Request - SSL 证书错误。使用过程验证证书 可帮助您主动检测这些问题并防止 证书错误。

<ph type="x-smartling-placeholder">

准备工作

在使用本文档中的步骤之前,请确保您了解以下主题:

根据 Apigee Router 上的信任库验证客户端证书

本部分介绍了用于验证客户端证书是否与 存储在 Apigee Edge Router 的信任库中的证书。

  1. 登录一台 Router 机器。
  2. 前往存储证书的 /opt/nginx/conf.d 文件夹 Apigee Edge Router 的信任库。
  3. 确定要为哪个信任库验证客户端证书。 信任库名称采用以下格式:
    org-env-virtualhost-client.pem
    

    其中:

    • org 是您的 Apigee 组织名称
    • env 是您的 Apigee 环境名称
    • virtualhost 是您的 Apigee 虚拟主机名
    • 例如,要验证以下内容:

      • 组织:myorg
      • 环境:test
      • 虚拟主机:secure

      信任库名称为:myorg-test-secure-client.pem

  4. 从本地机器传输要验证的实际客户端证书 使用 scpsftp 复制到路由器上的 /tmp 目录 或其他实用程序

    例如,按如下方式使用 scp 命令:

    scp client_cert.pem router-host:/tmp
    

    其中,router-host 是路由器机器的名称。

  5. 使用 OpenSSL 验证客户端证书,如下所示:
    openssl verify -trusted org-env-virtualhost-client.pem /tmp/client-cert.pem
    

    其中:

    • org 是您的 Apigee 组织名称
    • env 是您的 Apigee 环境名称
    • virtualhost 是您的 Apigee 虚拟主机名
  6. 修正上述命令返回的所有错误。

    如果 Apigee Edge Router 上的信任库未包含正确的证书, 使用以下命令删除 PEM 格式的正确证书并上传到信任库 将证书上传到 Truststore API

  7. <ph type="x-smartling-placeholder">