步驟 4:簽署簽名要求

產生簽名要求檔案後,您必須簽署要求。

如要簽署 *.csr 檔案,請執行下列指令:

openssl x509 -req \
  -CA CA_PUBLIC_CERT \
  -CAkey CA_PRIVATE_KEY \
  -extensions cert_ext \
  -set_serial 1 \
  -extfile SIGNATURE_CONFIGURATION \
  -in SIGNATURE_REQUEST \
  -out LOCAL_CERTIFICATE_OUTPUT

在此情況下:

  • CA_PUBLIC_CERT 是憑證授權單位的公開路徑 鍵。
  • CA_PRIVATE_KEY 是憑證授權單位的私人路徑 鍵。
  • SIGNATURE_CONFIGURATION 是您所建立的檔案路徑 步驟 2:建立本機簽名設定檔
  • SIGNATURE_REQUEST 是您所建立的檔案路徑 建構簽名要求
  • LOCAL_CERTIFICATE_OUTPUT 是這個指令建立節點的 憑證

這個指令會產生 local_cert.pemlocal_key.pem 檔案。個人中心 只能在 Apigee mTLS 安裝時,在單一節點上使用這些檔案。每個節點都必須有各自的 擁有自己的金鑰/憑證組合

以下範例顯示這個指令的成功回應:

user@host:~/certificate_example$ openssl x509 -req \
  -CA certificate.pem \
  -CAkey key.pem \
  -extensions cert_ext \
  -set_serial 1 \
  -extfile request_for_sig \
  -in temp_request.csr \
  -out local_cert.pem

Signature ok
subject=C = US, ST = CA, L = San Jose, O = Google, OU = Google-Cloud, CN = Apigee
Getting CA Private Key

user@host:~/certificate_example$ ls

certificate.pem  key.pem  local_cert.pem  local_key.pem  request_for_sig  temp_request.csr

自訂憑證/金鑰組的預設有效期限為 365 天。您可以設定 天數,如下所述:APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR 步驟 1:更新設定檔

下一步

12 3 4 下一步:(5) 整合