生成签名请求文件后,您必须对请求进行签名。
如需对 *.csr 文件进行签名,请执行如下命令:
openssl x509 -req \ -CA CA_PUBLIC_CERT \ -CAkey CA_PRIVATE_KEY \ -extensions cert_ext \ -set_serial 1 \ -extfile SIGNATURE_CONFIGURATION \ -in SIGNATURE_REQUEST \ -out LOCAL_CERTIFICATE_OUTPUT
其中:
- CA_PUBLIC_CERT 是证书授权机构的公共文件路径 键。
- CA_PRIVATE_KEY 是证书授权机构的专用路径 键。
- SIGNATURE_CONFIGURATION 是您在其中创建的文件的路径 第 2 步:创建本地签名配置文件。
- SIGNATURE_REQUEST 是您在其中创建的文件的路径 构建签名请求。
- LOCAL_CERTIFICATE_OUTPUT 是此命令在哪个路径下创建节点 证书。
此命令会生成 local_cert.pem
和 local_key.pem
文件。您
只有在 Apigee mTLS 安装中,才能在单个节点上使用这些文件。每个节点的
自己的密钥/证书对。
以下示例展示了此命令的成功响应:
user@host:~/certificate_example$ openssl x509 -req \ -CA certificate.pem \ -CAkey key.pem \ -extensions cert_ext \ -set_serial 1 \ -extfile request_for_sig \ -in temp_request.csr \ -out local_cert.pem Signature ok subject=C = US, ST = CA, L = San Jose, O = Google, OU = Google-Cloud, CN = Apigee Getting CA Private Key user@host:~/certificate_example$ ls certificate.pem key.pem local_cert.pem local_key.pem request_for_sig temp_request.csr
默认情况下,自定义证书/密钥对的有效期为 365 天。您可以配置
APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR
属性指定日期范围,如
第 1 步:更新配置文件。
后续步骤
1 2 3 人 4 下一步:(5) 集成