Depois de gerar um arquivo de solicitação de assinatura, assine a solicitação.
Para assinar o arquivo *.csr, execute o seguinte comando:
openssl x509 -req \ -CA CA_PUBLIC_CERT \ -CAkey CA_PRIVATE_KEY \ -extensions cert_ext \ -set_serial 1 \ -extfile SIGNATURE_CONFIGURATION \ -in SIGNATURE_REQUEST \ -out LOCAL_CERTIFICATE_OUTPUT
Em que:
- CA_PUBLIC_CERT é o caminho para a chave pública da autoridade de certificação.
- CA_PRIVATE_KEY é o caminho para a chave privada da autoridade de certificação.
- SIGNATURE_CONFIGURATION é o caminho para o arquivo que você criou na Etapa 2: criar o arquivo de configuração de assinatura local.
- SIGNATURE_REQUEST é o caminho para o arquivo que você criou em Criar a solicitação de assinatura.
- LOCAL_CERTIFICATE_OUTPUT é o caminho em que esse comando cria o certificado do nó.
Esse comando gera os arquivos local_cert.pem
e local_key.pem
. Só
é possível usar esses arquivos em um único nó na instalação do mTLS da Apigee. Cada nó precisa ter o
próprio par de chave/certificado.
O exemplo a seguir mostra uma resposta bem-sucedida para este comando:
user@host:~/certificate_example$ openssl x509 -req \ -CA certificate.pem \ -CAkey key.pem \ -extensions cert_ext \ -set_serial 1 \ -extfile request_for_sig \ -in temp_request.csr \ -out local_cert.pem Signature ok subject=C = US, ST = CA, L = San Jose, O = Google, OU = Google-Cloud, CN = Apigee Getting CA Private Key user@host:~/certificate_example$ ls certificate.pem key.pem local_cert.pem local_key.pem request_for_sig temp_request.csr
Por padrão, seu par personalizado de certificado/chave é válido por 365 dias. É possível configurar o número
de dias usando a propriedade APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR
, conforme descrito na
Etapa 1: atualizar o arquivo de configuração.