Cette page a été traduite par l'API Cloud Translation.

Étape 4: Signez la demande de signature

Après avoir généré un fichier de requête de signature, vous devez signer la requête.

Pour signer le fichier *.csr, exécutez la commande suivante:

openssl x509 -req \
  -CA CA_PUBLIC_CERT \
  -CAkey CA_PRIVATE_KEY \
  -extensions cert_ext \
  -set_serial 1 \
  -extfile SIGNATURE_CONFIGURATION \
  -in SIGNATURE_REQUEST \
  -out LOCAL_CERTIFICATE_OUTPUT

Où :

CA_PUBLIC_CERT est le chemin d'accès au fichier .
CA_PRIVATE_KEY est le chemin d'accès à l'autorité de certification privée .
SIGNATURE_CONFIGURATION est le chemin d'accès au fichier que vous avez créé dans Étape 2: Créez le fichier de configuration de signature local.
SIGNATURE_REQUEST est le chemin d'accès au fichier que vous avez créé dans Créez la requête de signature.
LOCAL_CERTIFICATE_OUTPUT est le chemin d'accès auquel cette commande crée le nœud certificat.

Cette commande génère les fichiers local_cert.pem et local_key.pem. Toi peuvent utiliser ces fichiers sur un seul nœud uniquement dans l'installation Apigee mTLS. Chaque nœud doit avoir ses sa propre paire clé/certificat.

L'exemple suivant montre une réponse positive à cette commande:

user@host:~/certificate_example$ openssl x509 -req \
  -CA certificate.pem \
  -CAkey key.pem \
  -extensions cert_ext \
  -set_serial 1 \
  -extfile request_for_sig \
  -in temp_request.csr \
  -out local_cert.pem

Signature ok
subject=C = US, ST = CA, L = San Jose, O = Google, OU = Google-Cloud, CN = Apigee
Getting CA Private Key

user@host:~/certificate_example$ ls

certificate.pem  key.pem  local_cert.pem  local_key.pem  request_for_sig  temp_request.csr

Par défaut, votre clé personnalisée/certificat personnalisé est valable 365 jours. Vous pouvez configurer le nombre de jours à l'aide de la propriété APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR, comme décrit dans Étape 1: Mettez à jour votre fichier de configuration

Next Step

1. 2. 3. 4. SUIVANT: (5) Intégration