אימות אישור לקוח מול Truststore

מוצג המסמך של Apigee Edge.
עוברים אל מסמכי תיעוד של Apigee X. מידע

במסמך הזה מוסבר איך לוודא שהועלו אישורי הלקוח הנכונים לנתבים של Apigee Edge. תהליך אימות האישורים מסתמך על OpenSSL, את המנגנון הבסיסי ששימש את NGINX בנתבי Apigee Edge.

כל חוסר התאמה באישורים שנשלחו על ידי אפליקציות הלקוח כחלק מבקשת ה-API והאישורים שמאוחסנים בנתבי Apigee Edge יובילו אל 400 Bad Request - שגיאות של אישור SSL. אימות האישורים באמצעות התהליך שמתוארים במסמך הזה יכולים לעזור לכם לזהות את הבעיות האלה באופן יזום ולמנוע שגיאות באישורים בזמן הריצה.

לפני שמתחילים

לפני שתשתמשו בשלבים שבמסמך הזה, חשוב שתוודאו שאתם מבינים את הנושאים הבאים:

  • אם אתם לא מכירים את ספריית OpenSSL, עליכם לקרוא את המאמר OpenSSL.
  • אם ברצונך להשתמש בדוגמאות של שורת הפקודה במדריך הזה, עליך להתקין או לעדכן לגרסה האחרונה של לקוח OpenSSL.
  • יש לוודא שהאישורים הם בפורמט PEM. אם לא, צריך להמיר את האישורים לפורמט PEM.

אימות אישורי לקוח כנגד Truststore בנתבי Apigee

בקטע הזה מתוארים השלבים שבעזרתם מאמתים שאישורי הלקוח זהים ל- אישורים שמאוחסנים ב-Truststore בנתבי Apigee Edge.

  1. מתחברים לאחת ממכונות הנתב.
  2. צריך לעבור לתיקייה /opt/nginx/conf.d, שבה מאוחסנים האישורים מאגר הנאמנות של Apigee Edge Routers.
  3. מזהים את ה-Truststore שבשבילה רוצים לאמת את אישורי הלקוח. השם של ה-Truststore מופיע בפורמט הבא: 
    org-env-virtualhost-client.pem

    כאשר:

    • org הוא שם הארגון שלך ב-Apigee
    • env הוא שם הסביבה שלך ב-Apigee
    • virtualhost הוא שם המארח הווירטואלי שלך ב-Apigee

      • לדוגמה, כדי לאמת את הדברים הבאים:

      • ארגון: myorg
      • סביבה: test
      • מארח וירטואלי: secure

      השם של ה-Truststore הוא: myorg-test-secure-client.pem

  4. מעבירים מהמכונה המקומית את אישור הלקוח שרוצים לאמת. לספרייה /tmp בנתב, באמצעות scp, sftp או כל שירות אחר.

    לדוגמה, משתמשים בפקודה scp באופן הבא: 

    scp client_cert.pem router-host:/tmp

    כאשר router-host הוא השם של מכונת הנתב.

  5. כך מאמתים את אישור הלקוח באמצעות OpenSSL: 
    openssl verify -trusted org-env-virtualhost-client.pem /tmp/client-cert.pem

    כאשר:

    • org הוא שם הארגון שלך ב-Apigee
    • env הוא שם הסביבה שלך ב-Apigee
    • virtualhost הוא שם המארח הווירטואלי שלך ב-Apigee

  6. מתקנים את השגיאות שחוזרות מהפקודה שלמעלה.

    אם ה-Truststore בנתב של Apigee Edge לא מכיל את האישורים הנכונים, מוחקים ומעלים את האישורים הנכונים בפורמט PEM ל-Truststore באמצעות העלאת אישור ל-Truststore API