После создания файла запроса подписи необходимо подписать запрос.
Чтобы подписать файл *.csr, выполните следующую команду:
openssl x509 -req \ -CA CA_PUBLIC_CERT \ -CAkey CA_PRIVATE_KEY \ -extensions cert_ext \ -set_serial 1 \ -extfile SIGNATURE_CONFIGURATION \ -in SIGNATURE_REQUEST \ -out LOCAL_CERTIFICATE_OUTPUT
Где:
- CA_PUBLIC_CERT — это путь к открытому ключу вашего центра сертификации.
- CA_PRIVATE_KEY — это путь к закрытому ключу вашего центра сертификации.
- SIGNATURE_CONFIGURATION — это путь к файлу, который вы создали на шаге 2. Создайте файл конфигурации локальной подписи .
- SIGNATURE_REQUEST — это путь к файлу, который вы создали в разделе «Создание запроса на подпись» .
- LOCAL_CERTIFICATE_OUTPUT — это путь, по которому эта команда создает сертификат узла.
Эта команда создает файлы local_cert.pem и local_key.pem . Вы можете использовать эти файлы на одном узле только при установке Apigee mTLS. Каждый узел должен иметь собственную пару ключ/сертификат.
В следующем примере показан успешный ответ на эту команду:
user@host:~/certificate_example$ openssl x509 -req \ -CA certificate.pem \ -CAkey key.pem \ -extensions cert_ext \ -set_serial 1 \ -extfile request_for_sig \ -in temp_request.csr \ -out local_cert.pem Signature ok subject=C = US, ST = CA, L = San Jose, O = Google, OU = Google-Cloud, CN = Apigee Getting CA Private Key user@host:~/certificate_example$ ls certificate.pem key.pem local_cert.pem local_key.pem request_for_sig temp_request.csr
По умолчанию ваша индивидуальная пара сертификат/ключ действительна в течение 365 дней. Вы можете настроить количество дней с помощью свойства APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR , как описано в разделе «Шаг 1. Обновите файл конфигурации» .