Passaggio 4: firma la richiesta di firma

Dopo aver generato un file di richiesta di firma, devi firmare la richiesta.

Per firmare il file *.csr, esegui questo comando:

openssl x509 -req \
  -CA CA_PUBLIC_CERT \
  -CAkey CA_PRIVATE_KEY \
  -extensions cert_ext \
  -set_serial 1 \
  -extfile SIGNATURE_CONFIGURATION \
  -in SIGNATURE_REQUEST \
  -out LOCAL_CERTIFICATE_OUTPUT

Dove:

  • CA_PUBLIC_CERT è il percorso per il dominio pubblico dell'autorità di certificazione chiave.
  • CA_PRIVATE_KEY è il percorso dei dati privati dell'autorità di certificazione chiave.
  • SIGNATURE_CONFIGURATION è il percorso del file che hai creato in Passaggio 2: crea il file di configurazione della firma locale.
  • SIGNATURE_REQUEST è il percorso del file che hai creato in Crea la richiesta di firma.
  • LOCAL_CERTIFICATE_OUTPUT è il percorso in cui questo comando crea l'elemento certificato.

Questo comando genera i file local_cert.pem e local_key.pem. Tu può utilizzare questi file su un singolo nodo solo nell'installazione di Apigee mTLS. Ogni nodo deve avere la propria coppia chiave/certificato.

L'esempio seguente mostra una risposta riuscita per questo comando:

user@host:~/certificate_example$ openssl x509 -req \
  -CA certificate.pem \
  -CAkey key.pem \
  -extensions cert_ext \
  -set_serial 1 \
  -extfile request_for_sig \
  -in temp_request.csr \
  -out local_cert.pem

Signature ok
subject=C = US, ST = CA, L = San Jose, O = Google, OU = Google-Cloud, CN = Apigee
Getting CA Private Key

user@host:~/certificate_example$ ls

certificate.pem  key.pem  local_cert.pem  local_key.pem  request_for_sig  temp_request.csr

Per impostazione predefinita, la coppia certificato/chiave personalizzato è valida per 365 giorni. Puoi configurare il numero di giorni utilizzando la proprietà APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR, come descritto in Passaggio 1: aggiorna il file di configurazione.

Passaggio successivo

1 2 3 4 SUCCESSIVO: (5) Integra