Sau khi tạo tệp yêu cầu chữ ký, bạn phải ký yêu cầu.
Để ký tệp *.csr, hãy thực thi lệnh sau:
openssl x509 -req \ -CA CA_PUBLIC_CERT \ -CAkey CA_PRIVATE_KEY \ -extensions cert_ext \ -set_serial 1 \ -extfile SIGNATURE_CONFIGURATION \ -in SIGNATURE_REQUEST \ -out LOCAL_CERTIFICATE_OUTPUT
Trong trường hợp:
- CA_PUBLIC_CERT là đường dẫn đến công khai của Tổ chức phát hành chứng chỉ .
- CA_PRIVATE_KEY là đường dẫn đến tệp riêng tư của Tổ chức phát hành chứng chỉ .
- SIGNATURE_CONFIGURATION là đường dẫn đến tệp mà bạn đã tạo Bước 2: Tạo tệp cấu hình chữ ký cục bộ.
- SIGNATURE_REQUEST là đường dẫn đến tệp mà bạn đã tạo Tạo yêu cầu chữ ký.
- LOCAL_CERTIFICATE_OUTPUT là đường dẫn mà tại đó lệnh này tạo chứng chỉ.
Lệnh này tạo các tệp local_cert.pem và local_key.pem. Bạn
chỉ có thể sử dụng các tệp này trên một nút duy nhất trong quá trình cài đặt mTLS của Apigee. Mỗi nút phải có
cặp khoá/chứng chỉ của riêng bạn.
Ví dụ sau đây cho thấy một phản hồi thành công cho lệnh này:
user@host:~/certificate_example$ openssl x509 -req \ -CA certificate.pem \ -CAkey key.pem \ -extensions cert_ext \ -set_serial 1 \ -extfile request_for_sig \ -in temp_request.csr \ -out local_cert.pem Signature ok subject=C = US, ST = CA, L = San Jose, O = Google, OU = Google-Cloud, CN = Apigee Getting CA Private Key user@host:~/certificate_example$ ls certificate.pem key.pem local_cert.pem local_key.pem request_for_sig temp_request.csr
Theo mặc định, cặp khoá/chứng chỉ tuỳ chỉnh của bạn có hiệu lực trong 365 ngày. Bạn có thể định cấu hình số điện thoại
ngày bằng cách sử dụng thuộc tính APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR, như được mô tả trong
Bước 1: Cập nhật tệp cấu hình.