بعد إنشاء ملف طلب توقيع، يجب توقيع الطلب.
للتوقيع على الملف *.csr، نفذ الأمر التالي:
openssl x509 -req \ -CA CA_PUBLIC_CERT \ -CAkey CA_PRIVATE_KEY \ -extensions cert_ext \ -set_serial 1 \ -extfile SIGNATURE_CONFIGURATION \ -in SIGNATURE_REQUEST \ -out LOCAL_CERTIFICATE_OUTPUT
المكان:
- CA_PUBLIC_CERT هو المسار إلى مرجع تصديق الشهادة العام المفتاح.
- CA_PRIVATE_KEY هو المسار إلى ملف مرجع التصديق الخاص المفتاح.
- SIGNATURE_CONFIGURATION هو المسار إلى الملف الذي أنشأته في الخطوة 2: إنشاء ملف إعداد التوقيع المحلي
- SIGNATURE_REQUEST هو المسار إلى الملف الذي أنشأته في أنشئ طلب التوقيع.
- LOCAL_CERTIFICATE_OUTPUT هو المسار الذي يُنشئ فيه هذا الأمر هيكل الشهادة.
يؤدي هذا الأمر إلى إنشاء الملفَّين local_cert.pem وlocal_key.pem. إِنْتَ
لا يمكن استخدام هذه الملفات على عقدة واحدة إلا في تثبيت Apigee mTLS. يجب أن يكون لكل عقدة
زوج المفتاح/الشهادة الخاص.
يوضّح المثال التالي استجابة ناجحة لهذا الأمر:
user@host:~/certificate_example$ openssl x509 -req \ -CA certificate.pem \ -CAkey key.pem \ -extensions cert_ext \ -set_serial 1 \ -extfile request_for_sig \ -in temp_request.csr \ -out local_cert.pem Signature ok subject=C = US, ST = CA, L = San Jose, O = Google, OU = Google-Cloud, CN = Apigee Getting CA Private Key user@host:~/certificate_example$ ls certificate.pem key.pem local_cert.pem local_key.pem request_for_sig temp_request.csr
تكون الشهادة المخصَّصة/زوج المفاتيح المخصَّصة صالحة لمدة 365 يومًا بشكل تلقائي. يمكنك ضبط عدد
من الأيام باستخدام السمة APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR، كما هو موضّح في
الخطوة 1: تعديل ملف الإعداد