Después de generar un archivo de solicitud de firma, debes firmar la solicitud.
Para firmar el archivo *.csr, ejecuta el siguiente comando:
openssl x509 -req \ -CA CA_PUBLIC_CERT \ -CAkey CA_PRIVATE_KEY \ -extensions cert_ext \ -set_serial 1 \ -extfile SIGNATURE_CONFIGURATION \ -in SIGNATURE_REQUEST \ -out LOCAL_CERTIFICATE_OUTPUT
Donde:
- CA_PUBLIC_CERT es la ruta a la clave pública de la autoridad certificadora.
- CA_PRIVATE_KEY es la ruta a la clave privada de tu autoridad certificadora.
- SIGNATURE_CONFIGURATION es la ruta de acceso al archivo que creaste en el Paso 2: Crea el archivo de configuración de firma local.
- SIGNATURE_REQUEST es la ruta de acceso al archivo que creaste en Cómo compilar la solicitud de firma.
- LOCAL_CERTIFICATE_OUTPUT es la ruta en la que este comando crea el certificado del nodo.
Con este comando, se generan los archivos local_cert.pem
y local_key.pem
. Puedes usar estos archivos en un solo nodo en la instalación de Apigee mTLS. Cada nodo debe tener su propio par clave-certificado.
En el siguiente ejemplo, se muestra una respuesta exitosa para este comando:
user@host:~/certificate_example$ openssl x509 -req \ -CA certificate.pem \ -CAkey key.pem \ -extensions cert_ext \ -set_serial 1 \ -extfile request_for_sig \ -in temp_request.csr \ -out local_cert.pem Signature ok subject=C = US, ST = CA, L = San Jose, O = Google, OU = Google-Cloud, CN = Apigee Getting CA Private Key user@host:~/certificate_example$ ls certificate.pem key.pem local_cert.pem local_key.pem request_for_sig temp_request.csr
De forma predeterminada, tu par de claves/certificado personalizado tiene una validez de 365 días. Puedes configurar la cantidad de días mediante la propiedad APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR
, como se describe en Paso 1: Actualiza el archivo de configuración.