Valider le certificat client par rapport au Truststore

Vous consultez la documentation d'Apigee Edge.
Consultez la documentation Apigee X.
en savoir plus

Ce document explique comment vérifier que les certificats client corrects ont été importés dans les routeurs Apigee Edge. Le processus de validation des certificats repose sur OpenSSL, qui est le mécanisme sous-jacent utilisé par NGINX sur les routeurs Apigee Edge.

Toute incohérence entre les certificats envoyés par les applications clientes dans le cadre de la requête API et les certificats stockés sur les routeurs Apigee Edge entraîne l'apparition d' erreurs 400 Bad Request - SSL Certificate. La validation des certificats à l'aide du processus décrit dans ce document peut vous aider à détecter de manière proactive ces problèmes et à éviter toute erreur de certificat au moment de l'exécution.

Avant de commencer

Avant de suivre la procédure décrite dans ce document, assurez-vous de bien comprendre les sujets suivants:

  • Si vous ne connaissez pas bien la bibliothèque OpenSSL, consultez la page OpenSSL.
  • Si vous souhaitez utiliser les exemples de ligne de commande de ce guide, installez ou mettez à jour la dernière version du client OpenSSL.
  • Assurez-vous que les certificats sont au format PEM. Si ce n'est pas le cas, convertissez-les au format PEM.

Valider des certificats client avec un Truststore sur les routeurs Apigee

Cette section décrit la procédure à suivre pour vérifier que les certificats client sont identiques aux certificats stockés dans le magasin de confiance sur les routeurs Apigee Edge.

  1. Connectez-vous à l'une des machines routeur.
  2. Accédez au dossier /opt/nginx/conf.d, où les certificats sont stockés dans le Truststore des routeurs Apigee Edge.
  3. Identifiez le magasin de confiance pour lequel vous souhaitez valider les certificats client. Le nom du magasin de confiance est au format suivant :
    org-env-virtualhost-client.pem
    

    Où :

    • org est le nom de votre organisation Apigee.
    • env est le nom de votre environnement Apigee.
    • virtualhost est le nom de votre hôte virtuel Apigee.
    • Par exemple, pour valider les éléments suivants:

      • Organisation : myorg
      • Environnement : test
      • Hôte virtuel: secure

      Le nom du Trustedstore est: myorg-test-secure-client.pem

  4. À partir de votre ordinateur local, transférez le certificat client réel que vous souhaitez valider dans le répertoire /tmp du routeur, à l'aide de scp, sftp ou de tout autre utilitaire.

    Par exemple, exécutez la commande scp comme suit:

    scp client_cert.pem router-host:/tmp
    

    router-host est le nom de la machine routeur.

  5. Vérifiez le certificat client à l'aide d'OpenSSL comme suit :
    openssl verify -trusted org-env-virtualhost-client.pem /tmp/client-cert.pem
    

    Où :

    • org est le nom de votre organisation Apigee.
    • env est le nom de votre environnement Apigee.
    • virtualhost est le nom de votre hôte virtuel Apigee.
  6. Corrigez toutes les erreurs renvoyées par la commande ci-dessus.

    Si le magasin de confiance du routeur Apigee Edge ne contient pas les certificats appropriés, supprimez et importez les certificats appropriés au format PEM dans le magasin de confiance à l'aide de l'article Importer le certificat dans l'API Truststore.