第 4 步:对签名请求进行签名

适用于私有云的 Edge v4.19.01

生成签名请求文件后,您必须对请求进行签名。

如需对 *.csr 文件进行签名,请执行如下命令:

openssl x509 -req \
  -CA CA_PUBLIC_CERT \
  -CAkey CA_PRIVATE_KEY \
  -extensions cert_ext \
  -set_serial 1 \
  -extfile SIGNATURE_CONFIGURATION \
  -in SIGNATURE_REQUEST \
  -out LOCAL_CERTIFICATE_OUTPUT

其中:

  • CA_PUBLIC_CERT 是证书授权机构的公共文件路径 键。
  • CA_PRIVATE_KEY 是证书授权机构的专用路径 键。
  • SIGNATURE_CONFIGURATION 是您在其中创建的文件的路径 第 2 步:创建本地签名配置文件
  • SIGNATURE_REQUEST 是您在其中创建的文件的路径 构建签名请求
  • LOCAL_CERTIFICATE_OUTPUT 是此命令在哪个路径下创建节点 证书。

此命令会生成 local_cert.pemlocal_key.pem 文件。您 只有在 Apigee mTLS 安装中,才能在单个节点上使用这些文件。每个节点的 自己的密钥/证书对。

以下示例展示了此命令的成功响应:

user@host:~/certificate_example$ openssl x509 -req \
  -CA certificate.pem \
  -CAkey key.pem \
  -extensions cert_ext \
  -set_serial 1 \
  -extfile request_for_sig \
  -in temp_request.csr \
  -out local_cert.pem

Signature ok
subject=C = US, ST = CA, L = San Jose, O = Google, OU = Google-Cloud, CN = Apigee
Getting CA Private Key

user@host:~/certificate_example$ ls

certificate.pem  key.pem  local_cert.pem  local_key.pem  request_for_sig  temp_request.csr

默认情况下,自定义证书/密钥对的有效期为 365 天。您可以配置 APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR 属性指定日期范围,如 第 1 步:更新配置文件

后续步骤

1 2 3 人 4 下一步:(5) 集成