Como validar o certificado do cliente em relação ao truststore

Você está vendo a documentação do Apigee Edge.
Acesse a documentação da Apigee X. informações

Neste documento, explicamos como verificar se os certificados do cliente corretos foram enviados para os roteadores do Apigee Edge. O processo de validação de certificados depende do OpenSSL, que é o mecanismo usado pelo NGINX nos roteadores do Apigee Edge.

Qualquer incompatibilidade nos certificados enviados pelos aplicativos clientes como parte da solicitação de API e nos certificados armazenados nos roteadores do Apigee Edge resultarão em 400 Bad Request - SSL Certificate errors. Ao validar os certificados usando o processo descrito neste documento, você pode detectar esses problemas proativamente e evitar erros de certificado durante a execução.

Antes de começar

Antes de seguir as etapas deste documento, é importante entender os seguintes tópicos:

  • Se você não conhece a biblioteca OpenSSL, leia OpenSSL.
  • Para usar os exemplos de linha de comando neste guia, instale ou atualize para a versão mais recente do cliente OpenSSL.
  • Verifique se os certificados estão no formato PEM. Caso contrário, converta-os para o formato PEM.

Como validar certificados do cliente em relação ao truststore em roteadores da Apigee

Nesta seção, descrevemos as etapas usadas para verificar se os certificados do cliente são idênticos aos certificados armazenados no truststore nos roteadores do Apigee Edge.

  1. Faça login em uma das máquinas do roteador.
  2. Navegue até a pasta /opt/nginx/conf.d, em que os certificados são armazenados no truststore de roteadores do Apigee Edge.
  3. Identifique o truststore em que você quer validar os certificados do cliente. O nome do truststore tem o seguinte formato: 
    org-env-virtualhost-client.pem

    Em que:

    • org é o nome da sua organização da Apigee.
    • env é o nome do seu ambiente da Apigee.
    • virtualhost é o nome do seu host virtual da Apigee.

      • Por exemplo, para validar o seguinte:

      • Organização: myorg
      • Ambiente: test
      • Host virtual: secure

      O nome do truststore é: myorg-test-secure-client.pem

  4. Na máquina local, transfira o certificado do cliente que você quer validar para o diretório /tmp no roteador, usando scp, sftp ou qualquer outro utilitário.

    Por exemplo, use o comando scp da seguinte maneira: 

    scp client_cert.pem router-host:/tmp

    Em que router-host é o nome da máquina roteador.

  5. Verifique o certificado do cliente usando o OpenSSL da seguinte maneira: 
    openssl verify -trusted org-env-virtualhost-client.pem /tmp/client-cert.pem

    Em que:

    • org é o nome da sua organização da Apigee.
    • env é o nome do seu ambiente da Apigee.
    • virtualhost é o nome do seu host virtual da Apigee.

  6. Corrija todos os erros retornados pelo comando acima.

    Se o truststore no roteador do Apigee Edge não contiver os certificados corretos, exclua e faça upload dos certificados corretos no formato PEM para o truststore usando esta API Upload Certificate to truststore.