Stai visualizzando la documentazione di Apigee Edge.
Vai alla sezione
Documentazione di Apigee X. Informazioni
Edge consente di creare host virtuali che supportano TLS unidirezionale e bidirezionale. Con TLS unidirezionale, il client invia una richiesta di sessione a un host virtuale di cui è stato eseguito il deployment su un router Edge e sul router risponde con un certificato che contiene la chiave pubblica dell'host virtuale. Per un certificato firmato, il client può quindi presentare una richiesta di autenticazione all'autorità di certificazione (CA).
Nel protocollo TLS a due vie, sia il client che i certificati Edge superano quelli convalidati come parte di una richiesta:
- Il router perimetrale presenta il proprio certificato al client TLS per l'autenticazione. Il cliente verifica l'identità del server prima di inviare il certificato al server.
- Il client TLS presenta il certificato a Edge per autenticarsi.
Per ulteriori informazioni, vedi Informazioni sugli host virtuali.
Acquisizione delle informazioni di connessione TLS
Durante una richiesta a un proxy API tramite un host virtuale che supporta TLS, Edge può acquisire informazioni sulla connessione TLS. Il proxy API può quindi accedere a tali informazioni tramite variabili di flusso per eseguire ulteriori analisi e convalide.
Il tipo di informazioni TLS acquisite da Edge dipende dal fatto che l'host virtuale supporti o meno TLS unidirezionale o bidirezionale. Ad esempio, per il TLS unidirezionale, Edge può acquisire informazioni Crittografia TLS o protocollo TLS utilizzato nella connessione TLS.
Per il protocollo TLS bidirezionale, Edge può acquisire tutte le stesse informazioni acquisite per il sistema TLS unidirezionale. e acquisire informazioni sul certificato del client. Ad esempio, Edge può acquisire l'impronta SHA1 del certificato client e del certificato client in formato PEM.
Acquisizione di informazioni per TLS unidirezionale e bidirezionale
La tabella seguente elenca le variabili di flusso che contengono le informazioni di connessione TLS acquisite
tramite Edge e disponibile per l'accesso al proxy API. Queste informazioni vengono acquisite sia per
e TLS a due vie impostando <ConnectionProperties> su true nelle
definizione host virtuale:
| Variabile di flusso | Descrizione |
|---|---|
tls.cipher
|
La crittografia utilizzata dalla connessione TLS. |
tls.protocol
|
Il protocollo utilizzato dalla connessione TLS. |
tls.server.name
|
Il nome del server SNI richiesto. |
tls.session.id
|
L'identificatore della sessione. Questa variabile di flusso è disponibile se imposti |
Acquisizione di informazioni TLS aggiuntive durante TLS bidirezionale
La tabella seguente elenca le variabili di flusso che contengono i dettagli del certificato client acquisiti da Edge
in TLS a due vie. Queste informazioni vengono acquisite per il TLS bidirezionale tramite l'impostazione
<ClientProperties> su true nella definizione dell'host virtuale:
| Variabile di flusso | Descrizione |
|---|---|
tls.client.s.dn
|
Il nome distinto (DN) del certificato client. |
tls.client.i.dn
|
Il nome distinto (DN) dell'emittente del certificato client. |
tls.client.raw.cert
|
Il certificato client in formato PEM. |
tls.client.cert.serial
|
Il numero di serie del certificato client. |
tls.client.cert.fingerprint
|
L'impronta SHA1 del certificato client. |
tls.session.id
|
L'identificatore della sessione. Questa variabile di flusso è disponibile se imposti
|
Configurazione di un host virtuale per acquisire le informazioni TLS
Per configurare l'host virtuale per l'acquisizione delle informazioni TLS, imposta le seguenti proprietà
da <PropagateTLSInformation> a true.
<ConnectionProperties>: attiva l'acquisizione delle informazioni sulla connessione TLS per il protocollo TLS unidirezionale e bidirezionale. Il valore predefinito èfalse.<ClientProperties>: attiva l'acquisizione di informazioni aggiuntive per TLS bidirezionale. Il valore predefinito èfalse.
Ad esempio, la seguente definizione di host virtuale utilizza il protocollo TLS a due vie e consente l'acquisizione entrambi i tipi di informazioni TLS:
<VirtualHost name="secure">
....
<SSLInfo>
<Enabled>true</Enabled>
# Enable two-way TLS.
<ClientAuthEnabled>true</ClientAuthEnabled>
<IgnoreValidationErrors>false</IgnoreValidationErrors>
<KeyAlias>ks-alias</KeyAlias>
<KeyStore>ref://ks-ref</KeyStore>
<TrustStore>ref://ts-ref</TrustStore>
</SSLInfo>
<PropagateTLSInformation>
<ConnectionProperties>true</ConnectionProperties>
<ClientProperties>true</ClientProperties>
</PropagateTLSInformation>
</VirtualHost>
Se passi un corpo JSON, imposta le proprietà come segue:
"propagateTLSInformation" : {
"connectionProperties" : true,
"clientProperties" : true
}
Imposta limiti per le dimensioni delle intestazioni
Quando abiliti l'acquisizione delle informazioni TLS su un host virtuale, Edge le trasmette utilizzando le intestazioni HTTP. Devi quindi assicurarti che i limiti delle dimensioni dell'intestazione siano impostati in modo appropriato a seconda che utilizzi Edge per il cloud o Edge per il cloud privato:
- Edge per il cloud: Apigee imposta le dimensioni delle intestazioni in modo appropriato.
- Edge per il cloud privato: funzionalità non disponibile.
Accesso alle variabili di flusso in un proxy API
Dal proxy API, puoi accedere e ispezionare le variabili di flusso TLS. Ad esempio, puoi utilizzare AssignMessage per accedervi, accedi in JavaScript con il criterio JavaScript.
Puoi anche fare riferimento alle variabili di flusso in un elemento <Condition> di un flusso proxy o target,
o in <Step> o <RouteRule>. Ad esempio, puoi indirizzare
a target diversi in base al numero di serie del client.
Per ulteriori informazioni, consulta: