تایید گواهی مشتری در مقابل Truststore

شما در حال مشاهده اسناد Apigee Edge هستید.
به مستندات Apigee X بروید . اطلاعات

این سند توضیح می دهد که چگونه می توان تأیید کرد که گواهینامه های مشتری صحیح در روترهای Apigee Edge آپلود شده اند. فرآیند اعتبار سنجی گواهی ها بر OpenSSL متکی است، که مکانیزم اساسی است که توسط NGINX در روترهای Apigee Edge استفاده می شود.

هر گونه عدم تطابق در گواهی های ارسال شده توسط برنامه های مشتری به عنوان بخشی از درخواست API و گواهی های ذخیره شده در روترهای Apigee Edge منجر به 400 خطای Bad Request - SSL Certificate خواهد شد. اعتبار سنجی گواهی ها با استفاده از فرآیند توضیح داده شده در این سند می تواند به شما کمک کند تا به طور فعال این مسائل را شناسایی کرده و از هرگونه خطای گواهی در زمان اجرا جلوگیری کنید.

قبل از شروع

قبل از استفاده از مراحل این سند، مطمئن شوید که موضوعات زیر را درک کرده اید:

  • اگر با کتابخانه OpenSSL آشنا نیستید، OpenSSL را بخوانید.
  • اگر می‌خواهید از نمونه‌های خط فرمان در این راهنما استفاده کنید، آخرین نسخه کلاینت OpenSSL را نصب یا به‌روزرسانی کنید.
  • اطمینان حاصل کنید که گواهی ها در قالب PEM هستند و در غیر این صورت، گواهی ها را به فرمت PEM تبدیل کنید .

اعتبار سنجی گواهی های مشتری در برابر Truststore در روترهای Apigee

این بخش مراحلی را که برای تأیید اینکه گواهی‌های کلاینت با گواهی‌های ذخیره‌شده در Truststore روی روترهای Apigee Edge یکسان هستند، توضیح می‌دهد.

  1. به یکی از ماشین های روتر وارد شوید.
  2. به پوشه /opt/nginx/conf.d بروید، جایی که گواهی ها در Truststore Apigee Edge Routers ذخیره می شوند.
  3. فروشگاه اعتمادی را که می خواهید گواهینامه های مشتری را برای آن تأیید کنید، شناسایی کنید. نام Truststore به شکل زیر است:
    org-env-virtualhost-client.pem

    کجا:

    • org نام سازمان Apigee شما است
    • env نام محیط Apigee شما است
    • virtualhost نام میزبان مجازی Apigee شما است

      • به عنوان مثال، برای اعتبارسنجی موارد زیر:

      • سازمان: myorg
      • محیط: test
      • میزبان مجازی: secure

      نام Truststore این است: myorg-test-secure-client.pem

  4. از دستگاه محلی خود، گواهی مشتری واقعی را که می خواهید اعتبار سنجی کنید، با استفاده از scp ، sftp یا هر ابزار دیگر، به دایرکتوری /tmp روی روتر منتقل کنید.

    برای مثال از دستور scp به صورت زیر استفاده کنید:

    scp client_cert.pem router-host:/tmp

    جایی که router-host نام دستگاه روتر است.

  5. گواهی مشتری را با استفاده از OpenSSL به صورت زیر تأیید کنید:
    openssl verify -trusted org-env-virtualhost-client.pem /tmp/client-cert.pem

    کجا:

    • org نام سازمان Apigee شما است
    • env نام محیط Apigee شما است
    • virtualhost نام میزبان مجازی Apigee شما است

  6. هر گونه خطایی را که از دستور بالا برگردانده شده است برطرف کنید.

    اگر Truststore در روتر Apigee Edge حاوی گواهینامه‌های صحیح نیست، گواهی‌های صحیح را در قالب PEM با استفاده از این گواهی آپلود برای Truststore API حذف و در Truststore آپلود کنید.