Проверка сертификата клиента в хранилище доверенных сертификатов

Вы просматриваете документацию Apigee Edge .
Перейдите к документации Apigee X. информация

В этом документе объясняется, как проверить, что на маршрутизаторы Apigee Edge были загружены правильные клиентские сертификаты. Процесс проверки сертификатов основан на OpenSSL, который является базовым механизмом, используемым NGINX на пограничных маршрутизаторах Apigee.

Любое несоответствие сертификатов, отправленных клиентскими приложениями в рамках запроса API, и сертификатов, хранящихся на маршрутизаторах Apigee Edge, приведет к ошибке 400 Bad Request-SSL Certificate . Проверка сертификатов с помощью процесса, описанного в этом документе, может помочь вам заранее обнаружить эти проблемы и предотвратить любые ошибки сертификатов во время выполнения.

Прежде чем начать

Прежде чем использовать действия, описанные в этом документе, убедитесь, что вы понимаете следующие темы:

  • Если вы не знакомы с библиотекой OpenSSL, прочтите OpenSSL .
  • Если вы хотите использовать примеры командной строки, приведенные в этом руководстве, установите или обновите клиент OpenSSL до последней версии.
  • Убедитесь, что сертификаты имеют формат PEM, а если нет, преобразуйте сертификаты в формат PEM .

Проверка клиентских сертификатов в хранилище доверенных сертификатов на маршрутизаторах Apigee

В этом разделе описаны шаги, используемые для проверки идентичности сертификатов клиентов сертификатам, хранящимся в хранилище доверенных сертификатов на пограничных маршрутизаторах Apigee.

  1. Войдите на один из маршрутизаторов.
  2. Перейдите в папку /opt/nginx/conf.d , где сертификаты хранятся в хранилище доверенных сертификатов Apigee Edge Routers.
  3. Определите хранилище доверенных сертификатов, для которого вы хотите проверить сертификаты клиента. Имя хранилища доверенных сертификатов имеет следующий формат:
    org-env-virtualhost-client.pem

    Где:

    • org — название вашей организации Apigee.
    • env — имя вашей среды Apigee.
    • virtualhost — это имя вашего виртуального хоста Apigee.

      • Например, для проверки следующего:

      • Организация: myorg
      • Окружающая среда: test
      • Виртуальный хост: secure

      Имя хранилища доверенных сертификатов: myorg-test-secure-client.pem

  4. С вашего локального компьютера перенесите фактический сертификат клиента, который вы хотите проверить, в каталог /tmp на маршрутизаторе, используя scp , sftp или любую другую утилиту.

    Например, используйте команду scp следующим образом:

    scp client_cert.pem router-host:/tmp

    Где router-host — это имя маршрутизатора.

  5. Проверьте сертификат клиента с помощью OpenSSL следующим образом:
    openssl verify -trusted org-env-virtualhost-client.pem /tmp/client-cert.pem

    Где:

    • org — название вашей организации Apigee.
    • env — имя вашей среды Apigee.
    • virtualhost — это имя вашего виртуального хоста Apigee.

  6. Исправьте все ошибки, возвращаемые приведенной выше командой.

    Если хранилище доверенных сертификатов на маршрутизаторе Apigee Edge не содержит правильных сертификатов, удалите и загрузите правильные сертификаты в формате PEM в хранилище доверенных сертификатов, используя этот API-интерфейс загрузки сертификата в хранилище доверенных сертификатов .