คุณกำลังดูเอกสารประกอบของ Apigee Edge
ไปที่เอกสารประกอบของ Apigee X ข้อมูล
เอกสารนี้อธิบายวิธียืนยันว่าได้อัปโหลดใบรับรองไคลเอ็นต์ที่ถูกต้องไปยังเราเตอร์ Apigee Edge แล้ว กระบวนการตรวจสอบใบรับรองใช้ OpenSSL ซึ่งเป็นกลไกพื้นฐานที่ NGINX ใช้ในเราเตอร์ Apigee Edge
หากใบรับรองที่ส่งมาจากแอปพลิเคชันไคลเอ็นต์ไม่ตรงกับคำขอ API และใบรับรองที่จัดเก็บไว้ในเราเตอร์ Apigee Edge จะนำไปสู่ คำขอที่ไม่ถูกต้อง 400 รายการ - ข้อผิดพลาดของใบรับรอง SSL การตรวจสอบใบรับรองโดยใช้กระบวนการที่อธิบายไว้ในเอกสารฉบับนี้จะช่วยให้คุณตรวจหาปัญหาเหล่านี้แบบเชิงรุกและป้องกันข้อผิดพลาดของใบรับรองขณะรันไทม์ได้
ก่อนเริ่มต้น
ก่อนทําตามขั้นตอนในเอกสารฉบับนี้ โปรดทําความเข้าใจหัวข้อต่อไปนี้
- หากคุณไม่คุ้นเคยกับไลบรารี OpenSSL โปรดอ่าน OpenSSL
- หากต้องการใช้ตัวอย่างบรรทัดคำสั่งในคู่มือนี้ ให้ติดตั้งหรืออัปเดตไคลเอ็นต์ OpenSSL เป็นเวอร์ชันล่าสุด
- ตรวจสอบว่าใบรับรองอยู่ในรูปแบบ PEM และหากไม่มี ให้ แปลงใบรับรองเป็นรูปแบบ PEM
การตรวจสอบใบรับรองไคลเอ็นต์กับ Truststore บนเราเตอร์ Apigee
ส่วนนี้จะอธิบายขั้นตอนที่ใช้ในการยืนยันว่าใบรับรองไคลเอ็นต์เหมือนกับใบรับรองที่จัดเก็บไว้ใน Truststore ในเราเตอร์ Apigee Edge
- เข้าสู่ระบบเครื่องเราเตอร์เครื่องใดเครื่องหนึ่ง
-
ไปที่โฟลเดอร์
/opt/nginx/conf.d
ที่จัดเก็บใบรับรองไว้ใน Truststore ของเราเตอร์ Apigee Edge -
ระบุ Truststore ที่คุณต้องการตรวจสอบใบรับรองไคลเอ็นต์
ชื่อ Truststore อยู่ในรูปแบบต่อไปนี้:
org-env-virtualhost-client.pem
โดยที่
- org คือชื่อองค์กร Apigee ของคุณ
- env คือชื่อสภาพแวดล้อม Apigee ของคุณ
- virtualhost คือชื่อโฮสต์เสมือนของ Apigee ของคุณ
-
องค์กร:
myorg
-
สภาพแวดล้อม:
test
-
โฮสต์เสมือน:
secure
ตัวอย่างเช่น หากต้องการตรวจสอบข้อมูลต่อไปนี้
ชื่อ Truststore คือ
myorg-test-secure-client.pem
- จากเครื่องของคุณ ให้โอนใบรับรองไคลเอ็นต์จริงที่คุณต้องการตรวจสอบไปยังไดเรกทอรี
/tmp
บนเราเตอร์ โดยใช้scp
,sftp
หรือยูทิลิตีอื่นเช่น ใช้คำสั่ง
scp
ดังนี้scp client_cert.pem router-host:/tmp
โดย router-host คือชื่อเครื่องเราเตอร์
-
ยืนยันใบรับรองไคลเอ็นต์โดยใช้ OpenSSL ดังนี้
openssl verify -trusted org-env-virtualhost-client.pem /tmp/client-cert.pem
โดยที่
- org คือชื่อองค์กร Apigee ของคุณ
- env คือชื่อสภาพแวดล้อม Apigee ของคุณ
- virtualhost คือชื่อโฮสต์เสมือนของ Apigee ของคุณ
-
แก้ไขข้อผิดพลาดใดๆ ก็ตามที่แสดงผลจากคำสั่งด้านบน
หาก Truststore ในเราเตอร์ Apigee Edge ไม่มีใบรับรองที่ถูกต้อง ให้ลบและอัปโหลดใบรับรองที่ถูกต้องในรูปแบบ PEM ไปยัง Truststore โดยใช้ใบรับรองการอัปโหลดไปยัง Truststore API