手順 4: 署名リクエストに署名する

署名リクエスト ファイルを生成したら、リクエストに署名する必要があります。

次のコマンドを実行して、*.csr ファイルに署名します。

openssl x509 -req \
  -CA CA_PUBLIC_CERT \
  -CAkey CA_PRIVATE_KEY \
  -extensions cert_ext \
  -set_serial 1 \
  -extfile SIGNATURE_CONFIGURATION \
  -in SIGNATURE_REQUEST \
  -out LOCAL_CERTIFICATE_OUTPUT

ここで

  • CA_PUBLIC_CERT は、認証局のパブリック パスへのパスです。 ] キーを押します。
  • CA_PRIVATE_KEY は、認証局のプライベート パスのパスです。 ] キーを押します。
  • SIGNATURE_CONFIGURATION は、作成したファイルのパスです。 ステップ 2: ローカル署名構成ファイルを作成する
  • SIGNATURE_REQUEST は、作成したファイルのパスです。 署名リクエストをビルドします。
  • LOCAL_CERTIFICATE_OUTPUT は、このコマンドでノードの VM を作成するパスです。 あります。

このコマンドにより、local_cert.pem ファイルと local_key.pem ファイルが生成されます。マイページ Apigee mTLS インストール環境内の単一ノードでのみ、これらのファイルを使用できます。各ノードには、そのノードに 作成する必要があります。

次の例は、このコマンドの正常なレスポンスを示しています。

user@host:~/certificate_example$ openssl x509 -req \
  -CA certificate.pem \
  -CAkey key.pem \
  -extensions cert_ext \
  -set_serial 1 \
  -extfile request_for_sig \
  -in temp_request.csr \
  -out local_cert.pem

Signature ok
subject=C = US, ST = CA, L = San Jose, O = Google, OU = Google-Cloud, CN = Apigee
Getting CA Private Key

user@host:~/certificate_example$ ls

certificate.pem  key.pem  local_cert.pem  local_key.pem  request_for_sig  temp_request.csr

カスタムの証明書と鍵のペアはデフォルトで 365 日間有効です。この数は APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR プロパティを使用します。詳細については、 ステップ 1: 構成ファイルを更新する

次のステップ

1 2 3 4 次へ: (5)統合する