Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến tài liệu về
Apigee X. thông tin
Tài liệu này giải thích cách xác minh rằng bạn đã tải đúng chứng chỉ ứng dụng khách lên Bộ định tuyến Apigee Edge. Quá trình xác thực chứng chỉ dựa trên OpenSSL – cơ chế cơ bản mà NGINX sử dụng trên Bộ định tuyến Apigee Edge.
Mọi trường hợp chứng chỉ không khớp do ứng dụng ứng dụng gửi theo yêu cầu API và các chứng chỉ được lưu trữ trên Bộ định tuyến Apigee Edge sẽ dẫn đến Lỗi 400 Yêu cầu không hợp lệ – Chứng chỉ SSL. Việc xác thực chứng chỉ bằng quy trình mô tả trong tài liệu này có thể giúp bạn chủ động phát hiện những vấn đề này và ngăn ngừa mọi lỗi chứng chỉ trong thời gian chạy.
Trước khi bắt đầu
Trước khi sử dụng các bước trong tài liệu này, hãy đảm bảo bạn hiểu rõ những chủ đề sau:
- Nếu bạn chưa quen với thư viện OpenSSL, hãy đọc OpenSSL.
- Nếu bạn muốn dùng các ví dụ về dòng lệnh trong hướng dẫn này, hãy cài đặt hoặc cập nhật lên phiên bản mới nhất của ứng dụng OpenSSL.
- Đảm bảo chứng chỉ ở định dạng PEM và nếu không, hãy chuyển đổi chứng chỉ sang định dạng PEM.
Xác thực chứng chỉ ứng dụng khách với kho lưu trữ tin cậy trên Bộ định tuyến Apigee
Phần này mô tả các bước dùng để xác minh rằng chứng chỉ ứng dụng khách giống với chứng chỉ được lưu trữ trong kho tin cậy trên Bộ định tuyến Apigee Edge.
- Đăng nhập vào một trong các máy Bộ định tuyến.
-
Chuyển đến thư mục
/opt/nginx/conf.d
, nơi lưu trữ các chứng chỉ trong kho lưu trữ tin cậy của Bộ định tuyến Apigee Edge. -
Xác định kho tin cậy mà bạn muốn xác thực chứng chỉ ứng dụng khách.
Tên Truststore có định dạng sau:
org-env-virtualhost-client.pem
Trong trường hợp:
- org là tên tổ chức Apigee của bạn
- env là tên môi trường Apigee của bạn
- virtualhost là tên máy chủ ảo Apigee của bạn
-
Tổ chức:
myorg
-
Môi trường:
test
-
Máy chủ ảo:
secure
Ví dụ: để xác thực các mục sau:
Tên kho lưu trữ tin cậy là:
myorg-test-secure-client.pem
- Từ máy cục bộ của bạn, hãy chuyển chứng chỉ ứng dụng thực mà bạn muốn xác thực sang thư mục
/tmp
trên Bộ định tuyến bằngscp
,sftp
hoặc bất kỳ tiện ích nào khác.Ví dụ: sử dụng lệnh
scp
như sau:scp client_cert.pem router-host:/tmp
Trong đó router-host là tên của máy Bộ định tuyến.
-
Xác minh chứng chỉ ứng dụng bằng OpenSSL như sau:
openssl verify -trusted org-env-virtualhost-client.pem /tmp/client-cert.pem
Trong trường hợp:
- org là tên tổ chức Apigee của bạn
- env là tên môi trường Apigee của bạn
- virtualhost là tên máy chủ ảo Apigee của bạn
-
Sửa mọi lỗi được trả về từ lệnh trên.
Nếu kho lưu trữ tin cậy trên Bộ định tuyến Apigee Edge không chứa đúng chứng chỉ, hãy xoá rồi tải đúng chứng chỉ ở định dạng PEM lên kho tin cậy bằng cách sử dụng Tải chứng chỉ lên Truststore API này.