Po wygenerowaniu pliku z prośbą o podpis musisz ją podpisać.
Aby podpisać plik *.csr, wykonaj to polecenie:
openssl x509 -req \ -CA CA_PUBLIC_CERT \ -CAkey CA_PRIVATE_KEY \ -extensions cert_ext \ -set_serial 1 \ -extfile SIGNATURE_CONFIGURATION \ -in SIGNATURE_REQUEST \ -out LOCAL_CERTIFICATE_OUTPUT
Gdzie:
- CA_PUBLIC_CERT to ścieżka do klucza publicznego urzędu certyfikacji.
- CA_PRIVATE_KEY to ścieżka do klucza prywatnego urzędu certyfikacji.
- SIGNATURE_CONFIGURATION to ścieżka do pliku utworzonego w kroku 2. Utwórz lokalny plik konfiguracyjny podpisu.
- SIGNATURE_REQUEST to ścieżka do pliku utworzonego w kroku Tworzenie żądania podpisu.
- LOCAL_CERTIFICATE_OUTPUT to ścieżka, na której to polecenie tworzy certyfikat węzła.
To polecenie generuje pliki local_cert.pem
i local_key.pem
. Można ich używać w jednym węźle tylko w instalacji mTLS Apigee. Każdy węzeł musi mieć własną parę klucz/certyfikat.
Poniższy przykład pokazuje pomyślną odpowiedź na to polecenie:
user@host:~/certificate_example$ openssl x509 -req \ -CA certificate.pem \ -CAkey key.pem \ -extensions cert_ext \ -set_serial 1 \ -extfile request_for_sig \ -in temp_request.csr \ -out local_cert.pem Signature ok subject=C = US, ST = CA, L = San Jose, O = Google, OU = Google-Cloud, CN = Apigee Getting CA Private Key user@host:~/certificate_example$ ls certificate.pem key.pem local_cert.pem local_key.pem request_for_sig temp_request.csr
Niestandardowa para certyfikatu i klucza jest domyślnie ważna przez 365 dni. Liczbę dni możesz ustawić za pomocą właściwości APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR
zgodnie z opisem w kroku 1. Zaktualizuj plik konfiguracji.