אימות אישור לקוח מול Truststore

כרגע מוצג התיעוד של Apigee Edge.
כניסה למסמכי התיעוד של Apigee X.
מידע

במסמך הזה מוסבר איך לוודא שהועלו אישורי הלקוח הנכונים אל Apigee Edge Routers. תהליך אימות האישורים מסתמך על OpenSSL, המנגנון הבסיסי שבו משתמש NGINX בנתבי Apigee Edge.

כל אי-התאמה באישורים שנשלחים על ידי אפליקציות הלקוח כחלק מבקשת ה-API ובאישורים שמאוחסנים בנתבי Apigee Edge, עלולים להוביל למצב 400 בקשה לא תקינה - שגיאות אישור SSL. אימות האישורים באמצעות התהליך המתואר במסמך הזה יכול לעזור לך לזהות את הבעיות האלה באופן יזום ולמנוע שגיאות באישורים בזמן הריצה.

לפני שמתחילים

לפני שמבצעים את השלבים במסמך הזה, חשוב להבין את הנושאים הבאים:

  • אם אתם לא מכירים את ספריית OpenSSL, כדאי לקרוא את OpenSSL.
  • כדי להשתמש בדוגמאות של שורת הפקודה במדריך הזה, צריך להתקין את הגרסה האחרונה של לקוח OpenSSL או לעדכן אותה.
  • צריך לוודא שהאישורים הם בפורמט PEM, ואם לא, ממירים אותם לפורמט PEM.

אימות אישורי לקוח מול מאגר מהימנות ב-Apigee Routers

בקטע הזה מתוארים השלבים לאימות שאישורי הלקוח זהים לאישורים שמאוחסנים ב-Truststore ב-Apigee Edge Routers.

  1. מתחברים לאחד ממכשירי הנתב.
  2. עוברים לתיקייה /opt/nginx/conf.d, שבה מאוחסנים האישורים ב-Truststore של Apigee Edge Routers.
  3. מאתרים את ה-Truststore שעבורו רוצים לאמת את אישורי הלקוח. השם של ה-Truststore מופיע בפורמט הבא:
    org-env-virtualhost-client.pem
    

    כאשר:

    • org הוא שם הארגון שלך ב-Apigee
    • env הוא שם הסביבה שלך ב-Apigee
    • virtualhost הוא שם המארח הווירטואלי שלך ב-Apigee
    • לדוגמה, כדי לבצע אימות עבור:

      • ארגון: myorg
      • סביבה: test
      • מארח וירטואלי: secure

      שם ה-Truststore הוא: myorg-test-secure-client.pem

  4. מהמחשב המקומי, מעבירים את אישור הלקוח בפועל שרוצים לאמת לספרייה /tmp בנתב, באמצעות scp, sftp או כל כלי שירות אחר.

    לדוגמה, משתמשים בפקודה scp באופן הבא:

    scp client_cert.pem router-host:/tmp
    

    כאשר router-host הוא השם של מכונת הנתב.

  5. מאמתים את אישור הלקוח באמצעות OpenSSL באופן הבא:
    openssl verify -trusted org-env-virtualhost-client.pem /tmp/client-cert.pem
    

    כאשר:

    • org הוא שם הארגון שלך ב-Apigee
    • env הוא שם הסביבה שלך ב-Apigee
    • virtualhost הוא שם המארח הווירטואלי שלך ב-Apigee
  6. מתקנים את השגיאות שהוחזרו מהפקודה שלמעלה.

    אם ה-Truststore ב-Apigee Edge Router לא מכיל את האישורים הנכונים, צריך למחוק את האישורים הנכונים בפורמט PEM ולהעלות אותם ל-Truststore באמצעות העלאת האישור ל-Truststore API.