Krok 4. Podpisz prośbę o podpisanie

Edge for Private Cloud w wersji 4.19.01

Po wygenerowaniu pliku z prośbą o podpisanie musisz podpisać prośbę.

Aby podpisać plik *.csr, uruchom następujące polecenie:

openssl x509 -req \
  -CA CA_PUBLIC_CERT \
  -CAkey CA_PRIVATE_KEY \
  -extensions cert_ext \
  -set_serial 1 \
  -extfile SIGNATURE_CONFIGURATION \
  -in SIGNATURE_REQUEST \
  -out LOCAL_CERTIFICATE_OUTPUT

Gdzie:

  • CA_PUBLIC_CERT to ścieżka do pliku publicznego urzędu certyfikacji .
  • CA_PRIVATE_KEY to ścieżka do prywatnych danych urzędu certyfikacji .
  • SIGNATURE_CONFIGURATION to ścieżka do pliku utworzonego przez Ciebie Krok 2. Utwórz plik konfiguracji podpisu lokalnego.
  • SIGNATURE_REQUEST to ścieżka do pliku utworzonego przez Ciebie Utwórz prośbę o podpis.
  • LOCAL_CERTIFICATE_OUTPUT to ścieżka, w której to polecenie tworzy kod węzła certyfikat.

To polecenie generuje pliki local_cert.pem i local_key.pem. Ty mogą używać tych plików tylko w 1 węźle w instalacji mTLS Apigee. Każdy węzeł musi mieć własne własna para klucz/certyfikat.

Ten przykład ilustruje pomyślną odpowiedź na to polecenie:

user@host:~/certificate_example$ openssl x509 -req \
  -CA certificate.pem \
  -CAkey key.pem \
  -extensions cert_ext \
  -set_serial 1 \
  -extfile request_for_sig \
  -in temp_request.csr \
  -out local_cert.pem

Signature ok
subject=C = US, ST = CA, L = San Jose, O = Google, OU = Google-Cloud, CN = Apigee
Getting CA Private Key

user@host:~/certificate_example$ ls

certificate.pem  key.pem  local_cert.pem  local_key.pem  request_for_sig  temp_request.csr

Twój niestandardowy certyfikat lub para kluczy są domyślnie dostępne przez 365 dni. Możesz skonfigurować numer dni za pomocą właściwości APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR, jak opisano w Krok 1. Zaktualizuj plik konfiguracji.

Następny krok

1. 2. 3. 4. DALEJ: (5) Integracja