Xác thực chứng chỉ máy khách với Truststore

Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến Tài liệu về Apigee X. thông tin

Tài liệu này giải thích cách xác minh rằng bạn đã tải đúng chứng chỉ ứng dụng lên cho bộ định tuyến ứng dụng Apigee. Quá trình xác thực chứng chỉ dựa vào OpenSSL, cơ chế cơ bản mà NGINX sử dụng trên Bộ định tuyến Apigee Edge.

Mọi thông tin không khớp trong các chứng chỉ do ứng dụng gửi đi theo yêu cầu API và các chứng chỉ được lưu trữ trên Bộ định tuyến Apigee Edge sẽ dẫn đến 400 Yêu cầu không hợp lệ – Lỗi chứng chỉ SSL. Xác thực chứng chỉ bằng quy trình được mô tả trong tài liệu này có thể giúp bạn chủ động phát hiện những vấn đề này và ngăn chặn lỗi chứng chỉ trong thời gian chạy.

Trước khi bắt đầu

Trước khi làm theo các bước trong tài liệu này, hãy đảm bảo bạn hiểu rõ các chủ đề sau:

  • Nếu bạn chưa hiểu rõ về thư viện OpenSSL, hãy đọc bài viết này OpenSSL.
  • Nếu bạn muốn sử dụng các ví dụ về dòng lệnh trong hướng dẫn này, hãy cài đặt hoặc cập nhật lên phiên bản mới nhất phiên bản của ứng dụng OpenSSL.
  • Đảm bảo chứng chỉ ở định dạng PEM và nếu không, chuyển đổi chứng chỉ sang định dạng PEM.

Xác thực chứng chỉ ứng dụng dựa trên kho tin cậy trên Bộ định tuyến Apigee

Phần này mô tả các bước được dùng để xác minh rằng chứng chỉ ứng dụng giống hệt với các chứng chỉ được lưu trữ trong kho tin cậy trên Bộ định tuyến Apigee Edge.

  1. Đăng nhập vào một trong các máy Bộ định tuyến.
  2. Chuyển đến thư mục /opt/nginx/conf.d, nơi lưu trữ các chứng chỉ Cửa hàng tin cậy của bộ định tuyến Apigee Edge.
  3. Xác định kho tin cậy mà bạn muốn xác thực chứng chỉ ứng dụng. Tên kho tin cậy có định dạng sau: 
    org-env-virtualhost-client.pem

    Trong trường hợp:

    • org là tên tổ chức Apigee của bạn
    • env là tên môi trường Apigee của bạn
    • virtualhost là tên máy chủ ảo Apigee của bạn

      • Ví dụ: để xác thực cho những mục sau:

      • Tổ chức: myorg
      • Môi trường: test
      • Máy chủ ảo: secure

      Tên kho tin cậy là: myorg-test-secure-client.pem

  4. Từ máy cục bộ của bạn, hãy chuyển chứng chỉ máy khách thực tế mà bạn muốn xác thực vào thư mục /tmp trên Bộ định tuyến, sử dụng scp, sftp hoặc bất kỳ tiện ích nào khác.

    Ví dụ: sử dụng lệnh scp như sau: 

    scp client_cert.pem router-host:/tmp

    Trong đó router-host là tên của máy Bộ định tuyến.

  5. Xác minh chứng chỉ máy khách bằng OpenSSL như sau: 
    openssl verify -trusted org-env-virtualhost-client.pem /tmp/client-cert.pem

    Trong trường hợp:

    • org là tên tổ chức Apigee của bạn
    • env là tên môi trường Apigee của bạn
    • virtualhost là tên máy chủ ảo Apigee của bạn

  6. Sửa mọi lỗi được trả về từ lệnh trên.

    Nếu kho tin cậy trên Bộ định tuyến Apigee Edge không chứa đúng chứng chỉ, xóa và tải đúng chứng chỉ ở định dạng PEM lên kho lưu trữ tin cậy bằng cách sử dụng lệnh này Tải chứng chỉ lên API Truststore.