Nachdem Sie eine Datei für die Signaturanfrage generiert haben, müssen Sie die Anfrage signieren.
Führen Sie den folgenden Befehl aus, um die *.csr-Datei zu signieren:
openssl x509 -req \ -CA CA_PUBLIC_CERT \ -CAkey CA_PRIVATE_KEY \ -extensions cert_ext \ -set_serial 1 \ -extfile SIGNATURE_CONFIGURATION \ -in SIGNATURE_REQUEST \ -out LOCAL_CERTIFICATE_OUTPUT
Wobei:
- CA_PUBLIC_CERT ist der Pfad zum öffentlichen Schlüssel Ihrer Zertifizierungsstelle.
- CA_PRIVATE_KEY ist der Pfad zum privaten Schlüssel Ihrer Zertifizierungsstelle.
- SIGNATURE_CONFIGURATION ist der Pfad zu der Datei, die Sie in Schritt 2: Lokale Konfigurationsdatei für die Signatur erstellen erstellt haben.
- SIGNATURE_REQUEST ist der Pfad zu der Datei, die Sie unter Signaturanfrage erstellen erstellt haben.
- LOCAL_CERTIFICATE_OUTPUT ist der Pfad, in dem dieser Befehl das Zertifikat des Knotens erstellt.
Dieser Befehl generiert die Dateien local_cert.pem und local_key.pem. Sie können diese Dateien nur in der Apigee mTLS-Installation auf einem einzelnen Knoten verwenden. Jeder Knoten muss ein eigenes Schlüssel/Zertifikat-Paar haben.
Das folgende Beispiel zeigt eine erfolgreiche Antwort für diesen Befehl:
user@host:~/certificate_example$ openssl x509 -req \ -CA certificate.pem \ -CAkey key.pem \ -extensions cert_ext \ -set_serial 1 \ -extfile request_for_sig \ -in temp_request.csr \ -out local_cert.pem Signature ok subject=C = US, ST = CA, L = San Jose, O = Google, OU = Google-Cloud, CN = Apigee Getting CA Private Key user@host:~/certificate_example$ ls certificate.pem key.pem local_cert.pem local_key.pem request_for_sig temp_request.csr
Ihr benutzerdefiniertes Zertifikat/Schlüsselpaar ist standardmäßig 365 Tage lang gültig. Sie können die Anzahl der Tage mit dem Attribut APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR konfigurieren, wie unter Schritt 1: Konfigurationsdatei aktualisieren beschrieben.