กำลังตรวจสอบใบรับรองไคลเอ็นต์กับ Truststore

คุณกำลังดูเอกสารประกอบของ Apigee Edge
ไปที่เอกสารประกอบของ Apigee X
ข้อมูล

เอกสารนี้อธิบายวิธียืนยันว่าได้อัปโหลดใบรับรองไคลเอ็นต์ที่ถูกต้องไปยังเราเตอร์ Apigee Edge แล้ว กระบวนการตรวจสอบใบรับรองใช้ OpenSSL ซึ่งเป็นกลไกพื้นฐานที่ NGINX ใช้ในเราเตอร์ Apigee Edge

หากใบรับรองที่ส่งมาจากแอปพลิเคชันไคลเอ็นต์ไม่ตรงกับคำขอ API และใบรับรองที่จัดเก็บไว้ในเราเตอร์ Apigee Edge จะนำไปสู่ คำขอที่ไม่ถูกต้อง 400 รายการ - ข้อผิดพลาดของใบรับรอง SSL การตรวจสอบใบรับรองโดยใช้กระบวนการที่อธิบายไว้ในเอกสารฉบับนี้จะช่วยให้คุณตรวจหาปัญหาเหล่านี้แบบเชิงรุกและป้องกันข้อผิดพลาดของใบรับรองขณะรันไทม์ได้

ก่อนเริ่มต้น

ก่อนทําตามขั้นตอนในเอกสารฉบับนี้ โปรดทําความเข้าใจหัวข้อต่อไปนี้

  • หากคุณไม่คุ้นเคยกับไลบรารี OpenSSL โปรดอ่าน OpenSSL
  • หากต้องการใช้ตัวอย่างบรรทัดคำสั่งในคู่มือนี้ ให้ติดตั้งหรืออัปเดตไคลเอ็นต์ OpenSSL เป็นเวอร์ชันล่าสุด
  • ตรวจสอบว่าใบรับรองอยู่ในรูปแบบ PEM และหากไม่มี ให้ แปลงใบรับรองเป็นรูปแบบ PEM

การตรวจสอบใบรับรองไคลเอ็นต์กับ Truststore บนเราเตอร์ Apigee

ส่วนนี้จะอธิบายขั้นตอนที่ใช้ในการยืนยันว่าใบรับรองไคลเอ็นต์เหมือนกับใบรับรองที่จัดเก็บไว้ใน Truststore ในเราเตอร์ Apigee Edge

  1. เข้าสู่ระบบเครื่องเราเตอร์เครื่องใดเครื่องหนึ่ง
  2. ไปที่โฟลเดอร์ /opt/nginx/conf.d ที่จัดเก็บใบรับรองไว้ใน Truststore ของเราเตอร์ Apigee Edge
  3. ระบุ Truststore ที่คุณต้องการตรวจสอบใบรับรองไคลเอ็นต์ ชื่อ Truststore อยู่ในรูปแบบต่อไปนี้:
    org-env-virtualhost-client.pem
    

    โดยที่

    • org คือชื่อองค์กร Apigee ของคุณ
    • env คือชื่อสภาพแวดล้อม Apigee ของคุณ
    • virtualhost คือชื่อโฮสต์เสมือนของ Apigee ของคุณ
    • ตัวอย่างเช่น หากต้องการตรวจสอบข้อมูลต่อไปนี้

      • องค์กร: myorg
      • สภาพแวดล้อม: test
      • โฮสต์เสมือน: secure

      ชื่อ Truststore คือ myorg-test-secure-client.pem

  4. จากเครื่องของคุณ ให้โอนใบรับรองไคลเอ็นต์จริงที่คุณต้องการตรวจสอบไปยังไดเรกทอรี /tmp บนเราเตอร์ โดยใช้ scp, sftp หรือยูทิลิตีอื่น

    เช่น ใช้คำสั่ง scp ดังนี้

    scp client_cert.pem router-host:/tmp
    

    โดย router-host คือชื่อเครื่องเราเตอร์

  5. ยืนยันใบรับรองไคลเอ็นต์โดยใช้ OpenSSL ดังนี้
    openssl verify -trusted org-env-virtualhost-client.pem /tmp/client-cert.pem
    

    โดยที่

    • org คือชื่อองค์กร Apigee ของคุณ
    • env คือชื่อสภาพแวดล้อม Apigee ของคุณ
    • virtualhost คือชื่อโฮสต์เสมือนของ Apigee ของคุณ
  6. แก้ไขข้อผิดพลาดใดๆ ก็ตามที่แสดงผลจากคำสั่งด้านบน

    หาก Truststore ในเราเตอร์ Apigee Edge ไม่มีใบรับรองที่ถูกต้อง ให้ลบและอัปโหลดใบรับรองที่ถูกต้องในรูปแบบ PEM ไปยัง Truststore โดยใช้ใบรับรองการอัปโหลดไปยัง Truststore API