Valida el certificado de cliente con el almacén de confianza

Estás consultando la documentación de Apigee Edge.
Consulta la documentación de Apigee X.
Información

En este documento, se explica cómo verificar que se hayan subido los certificados de cliente correctos a los routers perimetrales de Apigee. El proceso de validación de certificados se basa en OpenSSL, que es el mecanismo subyacente que usa NGINX en los routers perimetrales de Apigee.

Si no coinciden los certificados enviados por las aplicaciones cliente como parte de la solicitud a la API y los certificados almacenados en los routers perimetrales de Apigee, se generará el siguiente error: Solicitud incorrecta 400: errores de certificado SSL. La validación de los certificados mediante el proceso que se describe en este documento puede ayudarte a detectar estos problemas de forma proactiva y evitar errores de certificados en el entorno de ejecución.

Antes de comenzar

Antes de seguir los pasos de este documento, asegúrate de comprender los siguientes temas:

  • Si no conoces la biblioteca de OpenSSL, consulta OpenSSL.
  • Si deseas usar los ejemplos de la línea de comandos de esta guía, instala o actualiza la versión más reciente del cliente OpenSSL.
  • Asegúrate de que los certificados estén en formato PEM y, de lo contrario, conviértelos en formato PEM.

Valida certificados de clientes con almacenes de confianza en routers de Apigee

En esta sección, se describen los pasos que se usan para verificar que los certificados de cliente sean idénticos a los certificados almacenados en el almacén de confianza en los routers perimetrales de Apigee.

  1. Accede a una de las máquinas del router.
  2. Navega a la carpeta /opt/nginx/conf.d, en la que los certificados se almacenan en el almacén de confianza de los routers de Apigee Edge.
  3. Identifica el almacén de confianza para el que deseas validar los certificados de cliente. El nombre del almacén de confianza tiene el siguiente formato:
    org-env-virtualhost-client.pem
    

    Donde:

    • org es el nombre de tu organización de Apigee
    • env es el nombre de tu entorno de Apigee.
    • virtualhost es el nombre de tu host virtual de Apigee.
    • Por ejemplo, para validar lo siguiente:

      • Organización: myorg
      • Entorno: test
      • Host virtual: secure

      El nombre del almacén de confianza es myorg-test-secure-client.pem

  4. Desde tu máquina local, transfiere el certificado de cliente real que deseas validar al directorio /tmp en el router mediante scp, sftp o cualquier otra utilidad.

    Por ejemplo, usa el comando scp como se indica a continuación:

    scp client_cert.pem router-host:/tmp
    

    En el ejemplo anterior, router-host es el nombre de la máquina del router.

  5. Verifica el certificado de cliente con OpenSSL de la siguiente manera:
    openssl verify -trusted org-env-virtualhost-client.pem /tmp/client-cert.pem
    

    Donde:

    • org es el nombre de tu organización de Apigee
    • env es el nombre de tu entorno de Apigee.
    • virtualhost es el nombre de tu host virtual de Apigee.
  6. Corrige los errores que muestra el comando anterior.

    Si el almacén de confianza del router de Apigee Edge no contiene los certificados correctos, bórralos y súbelos en formato PEM al almacén de confianza con la opción Subir el certificado a la API de almacén de confianza.