Etapa 4: assinar a solicitação de assinatura

Depois de gerar um arquivo de solicitação de assinatura, assine a solicitação.

Para assinar o arquivo *.csr, execute o seguinte comando:

openssl x509 -req \
  -CA CA_PUBLIC_CERT \
  -CAkey CA_PRIVATE_KEY \
  -extensions cert_ext \
  -set_serial 1 \
  -extfile SIGNATURE_CONFIGURATION \
  -in SIGNATURE_REQUEST \
  -out LOCAL_CERTIFICATE_OUTPUT

Em que:

  • CA_PUBLIC_CERT é o caminho para o endereço público da autoridade de certificação de dados.
  • CA_PRIVATE_KEY é o caminho para o diretório particular da autoridade certificadora de dados.
  • SIGNATURE_CONFIGURATION é o caminho para o arquivo que você criou. Etapa 2: criar o arquivo de configuração de assinatura local
  • SIGNATURE_REQUEST é o caminho para o arquivo que você criou. Crie a solicitação de assinatura.
  • LOCAL_CERTIFICATE_OUTPUT é o caminho em que este comando cria o nó certificado.

Esse comando gera os arquivos local_cert.pem e local_key.pem. Você pode usar esses arquivos em um único nó apenas na instalação mTLS da Apigee. Cada nó precisa ter próprio par de chave/certificado.

O exemplo a seguir mostra uma resposta bem-sucedida para este comando:

user@host:~/certificate_example$ openssl x509 -req \
  -CA certificate.pem \
  -CAkey key.pem \
  -extensions cert_ext \
  -set_serial 1 \
  -extfile request_for_sig \
  -in temp_request.csr \
  -out local_cert.pem

Signature ok
subject=C = US, ST = CA, L = San Jose, O = Google, OU = Google-Cloud, CN = Apigee
Getting CA Private Key

user@host:~/certificate_example$ ls

certificate.pem  key.pem  local_cert.pem  local_key.pem  request_for_sig  temp_request.csr

Por padrão, seu par de certificado/chave personalizado é válido por 365 dias. É possível configurar o número de dias usando a propriedade APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR, conforme descrito em Etapa 1: atualizar o arquivo de configuração

Próxima etapa

1 2 3 4 PRÓXIMO: (5) Integrar