Bước 4: Ký yêu cầu chữ ký

Sau khi tạo tệp yêu cầu chữ ký, bạn phải ký yêu cầu.

Để ký tệp *.csr, hãy thực thi lệnh sau:

openssl x509 -req \
  -CA CA_PUBLIC_CERT \
  -CAkey CA_PRIVATE_KEY \
  -extensions cert_ext \
  -set_serial 1 \
  -extfile SIGNATURE_CONFIGURATION \
  -in SIGNATURE_REQUEST \
  -out LOCAL_CERTIFICATE_OUTPUT

Trong trường hợp:

  • CA_PUBLIC_CERT là đường dẫn đến công khai của Tổ chức phát hành chứng chỉ .
  • CA_PRIVATE_KEY là đường dẫn đến tệp riêng tư của Tổ chức phát hành chứng chỉ .
  • SIGNATURE_CONFIGURATION là đường dẫn đến tệp mà bạn đã tạo Bước 2: Tạo tệp cấu hình chữ ký cục bộ.
  • SIGNATURE_REQUEST là đường dẫn đến tệp mà bạn đã tạo Tạo yêu cầu chữ ký.
  • LOCAL_CERTIFICATE_OUTPUT là đường dẫn mà tại đó lệnh này tạo chứng chỉ.

Lệnh này tạo các tệp local_cert.pemlocal_key.pem. Bạn chỉ có thể sử dụng các tệp này trên một nút duy nhất trong quá trình cài đặt mTLS của Apigee. Mỗi nút phải có cặp khoá/chứng chỉ của riêng bạn.

Ví dụ sau đây cho thấy một phản hồi thành công cho lệnh này:

user@host:~/certificate_example$ openssl x509 -req \
  -CA certificate.pem \
  -CAkey key.pem \
  -extensions cert_ext \
  -set_serial 1 \
  -extfile request_for_sig \
  -in temp_request.csr \
  -out local_cert.pem

Signature ok
subject=C = US, ST = CA, L = San Jose, O = Google, OU = Google-Cloud, CN = Apigee
Getting CA Private Key

user@host:~/certificate_example$ ls

certificate.pem  key.pem  local_cert.pem  local_key.pem  request_for_sig  temp_request.csr

Theo mặc định, cặp khoá/chứng chỉ tuỳ chỉnh của bạn có hiệu lực trong 365 ngày. Bạn có thể định cấu hình số điện thoại ngày bằng cách sử dụng thuộc tính APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR, như được mô tả trong Bước 1: Cập nhật tệp cấu hình.

Bước tiếp theo

1 2 3 4 TIẾP THEO: (5) Tích hợp