Xác thực chứng chỉ máy khách với Truststore

Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến tài liệu về Apigee X.
thông tin

Tài liệu này giải thích cách xác minh rằng bạn đã tải đúng chứng chỉ ứng dụng khách lên Bộ định tuyến Apigee Edge. Quá trình xác thực chứng chỉ dựa trên OpenSSL – cơ chế cơ bản mà NGINX sử dụng trên Bộ định tuyến Apigee Edge.

Mọi trường hợp chứng chỉ không khớp do ứng dụng ứng dụng gửi theo yêu cầu API và các chứng chỉ được lưu trữ trên Bộ định tuyến Apigee Edge sẽ dẫn đến Lỗi 400 Yêu cầu không hợp lệ – Chứng chỉ SSL. Việc xác thực chứng chỉ bằng quy trình mô tả trong tài liệu này có thể giúp bạn chủ động phát hiện những vấn đề này và ngăn ngừa mọi lỗi chứng chỉ trong thời gian chạy.

Trước khi bắt đầu

Trước khi sử dụng các bước trong tài liệu này, hãy đảm bảo bạn hiểu rõ những chủ đề sau:

Xác thực chứng chỉ ứng dụng khách với kho lưu trữ tin cậy trên Bộ định tuyến Apigee

Phần này mô tả các bước dùng để xác minh rằng chứng chỉ ứng dụng khách giống với chứng chỉ được lưu trữ trong kho tin cậy trên Bộ định tuyến Apigee Edge.

  1. Đăng nhập vào một trong các máy Bộ định tuyến.
  2. Chuyển đến thư mục /opt/nginx/conf.d, nơi lưu trữ các chứng chỉ trong kho lưu trữ tin cậy của Bộ định tuyến Apigee Edge.
  3. Xác định kho tin cậy mà bạn muốn xác thực chứng chỉ ứng dụng khách. Tên Truststore có định dạng sau:
    org-env-virtualhost-client.pem
    

    Trong trường hợp:

    • org là tên tổ chức Apigee của bạn
    • env là tên môi trường Apigee của bạn
    • virtualhost là tên máy chủ ảo Apigee của bạn
    • Ví dụ: để xác thực các mục sau:

      • Tổ chức: myorg
      • Môi trường: test
      • Máy chủ ảo: secure

      Tên kho lưu trữ tin cậy là: myorg-test-secure-client.pem

  4. Từ máy cục bộ của bạn, hãy chuyển chứng chỉ ứng dụng thực mà bạn muốn xác thực sang thư mục /tmp trên Bộ định tuyến bằng scp, sftp hoặc bất kỳ tiện ích nào khác.

    Ví dụ: sử dụng lệnh scp như sau:

    scp client_cert.pem router-host:/tmp
    

    Trong đó router-host là tên của máy Bộ định tuyến.

  5. Xác minh chứng chỉ ứng dụng bằng OpenSSL như sau:
    openssl verify -trusted org-env-virtualhost-client.pem /tmp/client-cert.pem
    

    Trong trường hợp:

    • org là tên tổ chức Apigee của bạn
    • env là tên môi trường Apigee của bạn
    • virtualhost là tên máy chủ ảo Apigee của bạn
  6. Sửa mọi lỗi được trả về từ lệnh trên.

    Nếu kho lưu trữ tin cậy trên Bộ định tuyến Apigee Edge không chứa đúng chứng chỉ, hãy xoá rồi tải đúng chứng chỉ ở định dạng PEM lên kho tin cậy bằng cách sử dụng Tải chứng chỉ lên Truststore API này.