您正在查看 Apigee Edge 說明文件。
查看 Apigee X 說明文件。 資訊
本文說明如何確認已將正確的用戶端憑證上傳到 Apigee Edge Router 。驗證憑證的程序需要使用 OpenSSL,這是 NGINX 在 Apigee Edge Routers 上使用的基礎機制。
如果用戶端應用程式在 API 要求中傳送的憑證不相符,以及儲存在 Apigee Edge Router 中的憑證,都會發生 400 錯誤要求 - SSL 憑證錯誤。按照本文件所述的程序驗證憑證,有助於在執行階段主動偵測這些問題,並避免在執行階段發生任何憑證錯誤。
事前準備
使用本文件中的步驟前,請務必瞭解下列主題:
- 如果您不熟悉 OpenSSL 程式庫,請參閱 OpenSSL。
- 如要使用本指南中的指令列範例,請安裝或更新最新版的 OpenSSL 用戶端。
- 確認憑證為 PEM 格式,如果不是,請 將憑證轉換為 PEM 格式。
依據 Apigee 路由器上的信任儲存庫驗證用戶端憑證
本節說明驗證用戶端憑證,以及儲存在 Apigee Edge Router 中信任儲存庫中的憑證的步驟。
- 登入其中一部路由器機器。
-
前往
/opt/nginx/conf.d
資料夾,憑證會儲存在 Apigee Edge Router 的信任儲存庫。 -
找出要驗證用戶端憑證的信任儲存庫。
信任儲存庫名稱的格式如下:
org-env-virtualhost-client.pem
地點:
- org 是您的 Apigee 機構名稱
- env 是您的 Apigee 環境名稱
- virtualhost 是您的 Apigee 虛擬主機名稱
-
機構:
myorg
-
環境:
test
-
虛擬主機:
secure
舉例來說,如要驗證下列項目:
信任儲存庫的名稱為:
myorg-test-secure-client.pem
- 將要驗證的實際用戶端憑證從本機電腦使用
scp
、sftp
或任何其他公用程式,將要驗證的實際用戶端憑證傳送至路由器的/tmp
目錄。例如,使用
scp
指令,如下所示:scp client_cert.pem router-host:/tmp
其中 router-host 是路由器機器的名稱。
-
請按照下列步驟使用 OpenSSL 驗證用戶端憑證:
openssl verify -trusted org-env-virtualhost-client.pem /tmp/client-cert.pem
地點:
- org 是您的 Apigee 機構名稱
- env 是您的 Apigee 環境名稱
- virtualhost 是您的 Apigee 虛擬主機名稱
-
修正上述指令傳回的所有錯誤。
如果 Apigee Edge Router 上的信任儲存庫不含正確的憑證,請使用這個將憑證上傳至信任儲存庫 API,刪除採用 PEM 格式的正確憑證並上傳至信任儲存庫。