Convalida del certificato client rispetto all'archivio attendibilità in corso...

Stai visualizzando la documentazione di Apigee Edge.
Vai alla documentazione di Apigee X. informazioni

Questo documento spiega come verificare che siano stati caricati i certificati client corretti sui router Apigee Edge. Il processo di convalida dei certificati si basa su OpenSSL, che è il meccanismo sottostante utilizzato da NGINX sui router Apigee Edge.

Qualsiasi mancata corrispondenza tra i certificati inviati dalle applicazioni client nell'ambito della richiesta API e i certificati archiviati sui router Apigee Edge causeranno errore 400 Richiesta non valida - Certificato SSL. La convalida dei certificati utilizzando il processo descritto in questo documento può aiutarti a rilevare proattivamente questi problemi e prevenire eventuali errori dei certificati in fase di runtime.

Prima di iniziare

Prima di seguire la procedura descritta in questo documento, assicurati di comprendere i seguenti argomenti:

  • Se non hai dimestichezza con la libreria OpenSSL, leggi OpenSSL.
  • Se vuoi utilizzare gli esempi di riga di comando di questa guida, installa o aggiorna il client OpenSSL all'ultima versione.
  • Assicurati che i certificati siano in formato PEM. In caso contrario, convertili in formato PEM.

Convalida dei certificati client rispetto all'archivio attendibilità sui router Apigee

Questa sezione descrive i passaggi utilizzati per verificare che i certificati client siano identici a quelli archiviati nell'archivio attendibilità sui router Apigee Edge.

  1. Accedi a una delle macchine router.
  2. Vai alla cartella /opt/nginx/conf.d, dove sono archiviati i certificati nell'archivio di attendibilità dei router Apigee Edge.
  3. Identifica l'archivio attendibilità per il quale vuoi convalidare i certificati client. Il nome dell'archivio attendibilità ha il seguente formato: 
    org-env-virtualhost-client.pem

    Dove:

    • org è il nome della tua organizzazione Apigee
    • env è il nome del tuo ambiente Apigee
    • virtualhost è il nome dell'host virtuale Apigee

      • Ad esempio, per convalidare quanto segue:

      • Organizzazione: myorg
      • Ambiente: test
      • Host virtuale: secure

      Il nome dell'archivio attendibilità è: myorg-test-secure-client.pem

  4. Dalla macchina locale, trasferisci il certificato client effettivo che vuoi convalidare nella directory /tmp sul router, utilizzando scp, sftp o qualsiasi altra utilità.

    Ad esempio, utilizza il comando scp nel seguente modo: 

    scp client_cert.pem router-host:/tmp

    Dove router-host è il nome della macchina router.

  5. Verifica il certificato client utilizzando OpenSSL come segue: 
    openssl verify -trusted org-env-virtualhost-client.pem /tmp/client-cert.pem

    Dove:

    • org è il nome della tua organizzazione Apigee
    • env è il nome del tuo ambiente Apigee
    • virtualhost è il nome dell'host virtuale Apigee

  6. Correggi gli eventuali errori restituiti dal comando precedente.

    Se l'archivio attendibilità sul router Apigee Edge non contiene i certificati corretti, elimina e carica i certificati corretti in formato PEM nell'archivio attendibilità utilizzando l'articolo Carica il certificato nell'API truststore.