אחרי שיוצרים קובץ בקשת חתימה, צריך לחתום על הבקשה.
כדי לחתום על קובץ *.csr, מריצים את הפקודה הבאה:
openssl x509 -req \ -CA CA_PUBLIC_CERT \ -CAkey CA_PRIVATE_KEY \ -extensions cert_ext \ -set_serial 1 \ -extfile SIGNATURE_CONFIGURATION \ -in SIGNATURE_REQUEST \ -out LOCAL_CERTIFICATE_OUTPUT
כאשר:
- CA_PUBLIC_CERT הוא הנתיב לחשבון הציבורי של רשות האישורים שלך מקש.
- CA_PRIVATE_KEY הוא הנתיב לחשבון הפרטי של רשות האישורים מקש.
- SIGNATURE_CONFIGURATION הוא הנתיב לקובץ שבו יצרתם אותו שלב 2: יוצרים את קובץ התצורה של החתימה המקומית.
- SIGNATURE_REQUEST הוא הנתיב לקובץ שבו יצרתם אותו יוצרים את בקשת החתימה.
- LOCAL_CERTIFICATE_OUTPUT הוא הנתיב שבו פקודה זו יוצרת את כתובת ה-URL של הצומת אישור.
הפקודה הזו יוצרת את הקבצים local_cert.pem ו-local_key.pem. שלך
יכול להשתמש בקבצים האלה בצומת יחיד רק בהתקנת mTLS של Apigee. לכל צומת צריך להיות
זוג מפתחות/אישורים משל עצמם.
בדוגמה הבאה מוצגת תגובה מוצלחת לפקודה הזו:
user@host:~/certificate_example$ openssl x509 -req \ -CA certificate.pem \ -CAkey key.pem \ -extensions cert_ext \ -set_serial 1 \ -extfile request_for_sig \ -in temp_request.csr \ -out local_cert.pem Signature ok subject=C = US, ST = CA, L = San Jose, O = Google, OU = Google-Cloud, CN = Apigee Getting CA Private Key user@host:~/certificate_example$ ls certificate.pem key.pem local_cert.pem local_key.pem request_for_sig temp_request.csr
כברירת מחדל, האישור/המפתח המותאם אישית שלך תקף ל-365 יום. אפשר להגדיר את המספר
מהימים באמצעות המאפיין APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR, כפי שמתואר
שלב 1: עדכון קובץ התצורה.