שלב 4: חותמים על בקשת החתימה

אחרי שיוצרים קובץ בקשת חתימה, צריך לחתום על הבקשה.

כדי לחתום על קובץ *.csr, מריצים את הפקודה הבאה:

openssl x509 -req \
  -CA CA_PUBLIC_CERT \
  -CAkey CA_PRIVATE_KEY \
  -extensions cert_ext \
  -set_serial 1 \
  -extfile SIGNATURE_CONFIGURATION \
  -in SIGNATURE_REQUEST \
  -out LOCAL_CERTIFICATE_OUTPUT

כאשר:

  • CA_PUBLIC_CERT הוא הנתיב לחשבון הציבורי של רשות האישורים שלך מקש.
  • CA_PRIVATE_KEY הוא הנתיב לחשבון הפרטי של רשות האישורים מקש.
  • SIGNATURE_CONFIGURATION הוא הנתיב לקובץ שבו יצרתם אותו שלב 2: יוצרים את קובץ התצורה של החתימה המקומית.
  • SIGNATURE_REQUEST הוא הנתיב לקובץ שבו יצרתם אותו יוצרים את בקשת החתימה.
  • LOCAL_CERTIFICATE_OUTPUT הוא הנתיב שבו פקודה זו יוצרת את כתובת ה-URL של הצומת אישור.

הפקודה הזו יוצרת את הקבצים local_cert.pem ו-local_key.pem. שלך יכול להשתמש בקבצים האלה בצומת יחיד רק בהתקנת mTLS של Apigee. לכל צומת צריך להיות זוג מפתחות/אישורים משל עצמם.

בדוגמה הבאה מוצגת תגובה מוצלחת לפקודה הזו:

user@host:~/certificate_example$ openssl x509 -req \
  -CA certificate.pem \
  -CAkey key.pem \
  -extensions cert_ext \
  -set_serial 1 \
  -extfile request_for_sig \
  -in temp_request.csr \
  -out local_cert.pem

Signature ok
subject=C = US, ST = CA, L = San Jose, O = Google, OU = Google-Cloud, CN = Apigee
Getting CA Private Key

user@host:~/certificate_example$ ls

certificate.pem  key.pem  local_cert.pem  local_key.pem  request_for_sig  temp_request.csr

כברירת מחדל, האישור/המפתח המותאם אישית שלך תקף ל-365 יום. אפשר להגדיר את המספר מהימים באמצעות המאפיין APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR, כפי שמתואר שלב 1: עדכון קובץ התצורה.

השלב הבא

1 2 3 4 הבא: (5) שילוב