產生簽名要求檔案後,您必須簽署要求。
如要簽署 *.csr 檔案,請執行下列指令:
openssl x509 -req \ -CA CA_PUBLIC_CERT \ -CAkey CA_PRIVATE_KEY \ -extensions cert_ext \ -set_serial 1 \ -extfile SIGNATURE_CONFIGURATION \ -in SIGNATURE_REQUEST \ -out LOCAL_CERTIFICATE_OUTPUT
在此情況下:
- CA_PUBLIC_CERT 是憑證授權單位公開金鑰的路徑。
- CA_PRIVATE_KEY 是憑證授權單位的私密金鑰路徑。
- SIGNATURE_CONFIGURATION 是您在步驟 2:建立本機簽名設定檔中建立的檔案路徑。
- SIGNATURE_REQUEST 是您在建構簽名要求中建立的檔案路徑。
- LOCAL_CERTIFICATE_OUTPUT 是這個指令建立節點憑證的路徑。
這個指令會產生 local_cert.pem 和 local_key.pem 檔案。您只能在 Apigee mTLS 安裝時,在單一節點上使用這些檔案。每個節點都必須有自己的金鑰/憑證組合。
以下範例顯示這個指令的成功回應:
user@host:~/certificate_example$ openssl x509 -req \ -CA certificate.pem \ -CAkey key.pem \ -extensions cert_ext \ -set_serial 1 \ -extfile request_for_sig \ -in temp_request.csr \ -out local_cert.pem Signature ok subject=C = US, ST = CA, L = San Jose, O = Google, OU = Google-Cloud, CN = Apigee Getting CA Private Key user@host:~/certificate_example$ ls certificate.pem key.pem local_cert.pem local_key.pem request_for_sig temp_request.csr
自訂憑證/金鑰組預設為 365 天。您可以使用 APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR 屬性設定天數,如步驟 1:更新設定檔所述。
下一步
1 2 3 4 下一步:(5) 整合