پس از ایجاد یک فایل درخواست امضا، باید درخواست را امضا کنید.
برای امضای فایل *.csr، دستور زیر را اجرا کنید:
openssl x509 -req \ -CA CA_PUBLIC_CERT \ -CAkey CA_PRIVATE_KEY \ -extensions cert_ext \ -set_serial 1 \ -extfile SIGNATURE_CONFIGURATION \ -in SIGNATURE_REQUEST \ -out LOCAL_CERTIFICATE_OUTPUT
جایی که:
- CA_PUBLIC_CERT مسیر کلید عمومی مرجع صدور گواهی شما است.
- CA_PRIVATE_KEY مسیر کلید خصوصی مرجع صدور گواهی شما است.
- SIGNATURE_CONFIGURATION مسیر فایلی است که در مرحله 2 ایجاد کردید: فایل پیکربندی امضای محلی را ایجاد کنید .
- SIGNATURE_REQUEST مسیر فایلی است که در ساخت درخواست امضا ایجاد کردید.
- LOCAL_CERTIFICATE_OUTPUT مسیری است که در آن این دستور گواهی گره را ایجاد می کند.
این دستور فایل های local_cert.pem و local_key.pem را تولید می کند. شما می توانید این فایل ها را در یک گره تنها در نصب Apigee mTLS استفاده کنید. هر گره باید جفت کلید/گواهی خود را داشته باشد.
مثال زیر یک پاسخ موفق برای این دستور را نشان می دهد:
user@host:~/certificate_example$ openssl x509 -req \ -CA certificate.pem \ -CAkey key.pem \ -extensions cert_ext \ -set_serial 1 \ -extfile request_for_sig \ -in temp_request.csr \ -out local_cert.pem Signature ok subject=C = US, ST = CA, L = San Jose, O = Google, OU = Google-Cloud, CN = Apigee Getting CA Private Key user@host:~/certificate_example$ ls certificate.pem key.pem local_cert.pem local_key.pem request_for_sig temp_request.csr
جفت گواهی/کلید سفارشی شما به طور پیشفرض برای 365 روز خوب است. میتوانید تعداد روزها را با استفاده از ویژگی APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR پیکربندی کنید، همانطور که در مرحله 1 توضیح داده شده است: فایل پیکربندی خود را بهروزرسانی کنید .