Clientzertifikat wird anhand von Truststore validiert

Sie sehen die Dokumentation zu Apigee Edge.
Zur Apigee X-Dokumentation weitere Informationen

In diesem Dokument wird erläutert, wie Sie überprüfen können, ob die richtigen Clientzertifikate in Apigee Edge-Router hochgeladen wurden. Die Validierung von Zertifikaten basiert auf OpenSSL, dem zugrunde liegenden Mechanismus, der von NGINX auf Apigee Edge-Routern verwendet wird.

Jede Abweichung in den Zertifikaten, die von den Clientanwendungen im Rahmen der API-Anfrage gesendet wurden, und in den Zertifikaten, die auf Apigee Edge-Routern gespeichert sind, führt zu Fehler vom Typ 400 Ungültige Anfrage – SSL-Zertifikat. Wenn Sie die Zertifikate mit dem in diesem Dokument beschriebenen Prozess validieren, können Sie diese Probleme proaktiv erkennen und eventuelle Zertifikatsfehler während der Laufzeit vermeiden.

Hinweis

Bevor Sie die Schritte in diesem Dokument ausführen, sollten Sie sich mit den folgenden Themen vertraut machen:

  • Wenn Sie mit der OpenSSL-Bibliothek nicht vertraut sind, lesen Sie die Informationen unter OpenSSL.
  • Wenn Sie die Befehlszeilenbeispiele in dieser Anleitung verwenden möchten, installieren Sie den OpenSSL-Client oder aktualisieren Sie ihn auf die neueste Version.
  • Die Zertifikate müssen im PEM-Format vorliegen. Ist dies nicht der Fall, konvertieren Sie die Zertifikate in das PEM-Format.

Clientzertifikate für Truststore auf Apigee-Routern validieren

In diesem Abschnitt werden die Schritte beschrieben, mit denen geprüft wird, ob die Clientzertifikate mit Zertifikaten identisch sind, die im Truststore auf Apigee Edge-Routern gespeichert sind.

  1. Melden Sie sich auf einer der Routermaschinen an.
  2. Rufen Sie den Ordner /opt/nginx/conf.d auf, in dem die Zertifikate im Truststore von Apigee Edge-Routern gespeichert sind.
  3. Ermitteln Sie den Truststore, für den Sie die Clientzertifikate validieren möchten. Der Truststore-Name hat das folgende Format: 
    org-env-virtualhost-client.pem

    Wobei:

    • org ist der Name Ihrer Apigee-Organisation
    • env ist der Name Ihrer Apigee-Umgebung
    • virtualhost ist der virtuelle Apigee-Hostname

      • Beispiel für die Validierung:

      • Organisation: myorg
      • Umgebung: test
      • Virtueller Host: secure

      Der Truststore-Name lautet: myorg-test-secure-client.pem

  4. Übertragen Sie das eigentliche Clientzertifikat, das Sie validieren möchten, von Ihrem lokalen Computer in das Verzeichnis /tmp des Routers. Verwenden Sie dazu scp, sftp oder ein anderes Dienstprogramm.

    Verwenden Sie beispielsweise den Befehl scp so: 

    scp client_cert.pem router-host:/tmp

    Dabei ist router-host der Name der Routermaschine.

  5. So prüfen Sie das Clientzertifikat mit OpenSSL: 
    openssl verify -trusted org-env-virtualhost-client.pem /tmp/client-cert.pem

    Wobei:

    • org ist der Name Ihrer Apigee-Organisation
    • env ist der Name Ihrer Apigee-Umgebung
    • virtualhost ist der virtuelle Apigee-Hostname

  6. Beheben Sie alle Fehler, die vom obigen Befehl zurückgegeben werden.

    Wenn der Truststore auf dem Apigee Edge Router nicht die richtigen Zertifikate enthält, löschen Sie die korrekten Zertifikate im PEM-Format und laden Sie sie mit dieser Upload Certificate to truststore API in den Truststore hoch.