กำลังตรวจสอบใบรับรองไคลเอ็นต์กับ Truststore

คุณกำลังดูเอกสารประกอบ Apigee Edge
ไปที่ เอกสารประกอบเกี่ยวกับ Apigee X. ข้อมูล

เอกสารนี้อธิบายวิธียืนยันว่าอัปโหลดใบรับรองไคลเอ็นต์ที่ถูกต้องแล้ว ไปยัง Apigee Edge Router กระบวนการตรวจสอบใบรับรองจะใช้ OpenSSL ซึ่งเป็น กลไกพื้นฐานที่ NGINX ใช้ใน Apigee Edge Router

ใบรับรองที่ส่งโดยแอปพลิเคชันไคลเอ็นต์ไม่ตรงกันโดยเป็นส่วนหนึ่งของคำขอ API และใบรับรองที่เก็บไว้ใน Apigee Edge Router จะนำไปยัง 400 คำขอไม่ถูกต้อง - ข้อผิดพลาดเกี่ยวกับใบรับรอง SSL การตรวจสอบใบรับรองโดยใช้กระบวนการ ซึ่งอธิบายไว้ในเอกสารนี้ สามารถช่วยคุณตรวจหาปัญหาเหล่านี้ในเชิงรุกและป้องกัน ข้อผิดพลาดใบรับรองขณะรันไทม์

ก่อนเริ่มต้น

ก่อนที่จะใช้ขั้นตอนในเอกสารนี้ โปรดทำความเข้าใจหัวข้อต่อไปนี้

  • หากคุณไม่คุ้นเคยกับไลบรารี OpenSSL โปรดอ่าน OpenSSL
  • หากต้องการใช้ตัวอย่างบรรทัดคำสั่งในคู่มือนี้ ให้ติดตั้งหรืออัปเดตเป็นเวอร์ชันล่าสุด เวอร์ชันไคลเอ็นต์ OpenSSL
  • ตรวจสอบว่าใบรับรองอยู่ในรูปแบบ PEM และหากไม่ใช่ แปลงใบรับรองเป็นรูปแบบ PEM

การตรวจสอบใบรับรองไคลเอ็นต์กับ Truststore บนเราเตอร์ Apigee

ส่วนนี้จะอธิบายขั้นตอนที่ใช้ในการยืนยันว่าใบรับรองไคลเอ็นต์เหมือนกันกับ ใบรับรองที่จัดเก็บไว้ใน Truststore บน Apigee Edge Router

  1. เข้าสู่ระบบเครื่องเราเตอร์เครื่องใดเครื่องหนึ่ง
  2. ไปยังโฟลเดอร์ /opt/nginx/conf.d ที่เก็บใบรับรองไว้ในโฟลเดอร์ Truststore ของ Apigee Edge Routers
  3. ระบุ Truststore ที่คุณต้องการตรวจสอบใบรับรองไคลเอ็นต์ ชื่อ Truststore อยู่ในรูปแบบต่อไปนี้ 
    org-env-virtualhost-client.pem

    สถานที่:

    • org คือชื่อองค์กร Apigee ของคุณ
    • env คือชื่อสภาพแวดล้อม Apigee ของคุณ
    • virtualhost คือชื่อโฮสต์เสมือน Apigee ของคุณ

      • ตัวอย่างเช่น หากต้องการตรวจสอบข้อมูลต่อไปนี้

      • องค์กร: myorg
      • สภาพแวดล้อม: test
      • โฮสต์เสมือน: secure

      ชื่อ Truststore คือ myorg-test-secure-client.pem

  4. โอนใบรับรองไคลเอ็นต์จริงที่คุณต้องการตรวจสอบจากเครื่องของคุณเอง ไปยังไดเรกทอรี /tmp บนเราเตอร์โดยใช้ scp, sftp หรือยูทิลิตีอื่นๆ

    เช่น ใช้คำสั่ง scp ดังนี้ 

    scp client_cert.pem router-host:/tmp

    โดยที่ router-host คือชื่อเครื่องเราเตอร์

  5. ยืนยันใบรับรองไคลเอ็นต์โดยใช้ OpenSSL ดังนี้ 
    openssl verify -trusted org-env-virtualhost-client.pem /tmp/client-cert.pem

    สถานที่:

    • org คือชื่อองค์กร Apigee ของคุณ
    • env คือชื่อสภาพแวดล้อม Apigee ของคุณ
    • virtualhost คือชื่อโฮสต์เสมือน Apigee ของคุณ

  6. แก้ไขข้อผิดพลาดที่ส่งคืนจากคำสั่งด้านบน

    หาก Truststore บน Apigee Edge Router ไม่มีใบรับรองที่ถูกต้อง ลบและอัปโหลดใบรับรองที่ถูกต้องในรูปแบบ PEM ไปยัง Truststore โดยใช้ อัปโหลดใบรับรองไปยัง Truststore API