Dopo aver generato un file di richiesta di firma, devi firmare la richiesta.
Per firmare il file *.csr, esegui questo comando:
openssl x509 -req \ -CA CA_PUBLIC_CERT \ -CAkey CA_PRIVATE_KEY \ -extensions cert_ext \ -set_serial 1 \ -extfile SIGNATURE_CONFIGURATION \ -in SIGNATURE_REQUEST \ -out LOCAL_CERTIFICATE_OUTPUT
Dove:
- CA_PUBLIC_CERT è il percorso della chiave pubblica dell'autorità di certificazione.
- CA_PRIVATE_KEY è il percorso della chiave privata dell'autorità di certificazione.
- SIGNATURE_CONFIGURATION è il percorso del file che hai creato nel Passaggio 2: crea il file di configurazione della firma locale.
- SIGNATURE_REQUEST è il percorso del file che hai creato in Crea la richiesta di firma.
- LOCAL_CERTIFICATE_OUTPUT è il percorso in cui questo comando crea il certificato del nodo.
Questo comando genera i file local_cert.pem e local_key.pem. Puoi
utilizzare questi file su un singolo nodo solo nell'installazione di Apigee mTLS. Ogni nodo deve avere una
propria coppia chiave/certificato.
L'esempio seguente mostra una risposta corretta per questo comando:
user@host:~/certificate_example$ openssl x509 -req \ -CA certificate.pem \ -CAkey key.pem \ -extensions cert_ext \ -set_serial 1 \ -extfile request_for_sig \ -in temp_request.csr \ -out local_cert.pem Signature ok subject=C = US, ST = CA, L = San Jose, O = Google, OU = Google-Cloud, CN = Apigee Getting CA Private Key user@host:~/certificate_example$ ls certificate.pem key.pem local_cert.pem local_key.pem request_for_sig temp_request.csr
Per impostazione predefinita, la coppia certificato/chiave personalizzata è valida per 365 giorni. Puoi configurare il numero di giorni utilizzando la proprietà APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR, come descritto nel Passaggio 1: aggiorna il file di configurazione.