Estás viendo la documentación de Apigee Edge.
Ve a la
Documentación de Apigee X. información
Edge te permite crear hosts virtuales que admitan TLS unidireccional y bidireccional. Con la TLS unidireccional, el cliente envía una solicitud de sesión a un host virtual implementado en un router perimetral y en el router responde con un certificado que contiene la clave pública del host virtual. En el caso de un certificado firmado, el cliente puede enviar una solicitud a la autoridad certificadora (AC) para autenticar el certificado.
En TLS bidireccional, tanto el cliente como Edge pasan certificados que se validan como parte de una solicitud:
- El router perimetral presenta su certificado al cliente de TLS para autenticarse. El cliente y, luego, verifica la identidad del servidor antes de enviar su certificado.
- El cliente de TLS presenta su certificado a Edge para autenticarse.
Consulta Acerca de los hosts virtuales para obtener más información.
Capturar información de conexión TLS
Durante una solicitud a un proxy de API a través de un host virtual que admite TLS, Edge puede información sobre la conexión TLS. Luego, tu proxy de API puede acceder a esa información a través de variables de flujo para realizar análisis y validaciones adicionales.
El tipo de información de TLS que captura Edge depende de si el host virtual admite TLS unidireccional o bidireccional. Por ejemplo, para TLS unidireccional, Edge puede capturar información sobre el El algoritmo de cifrado TLS o el protocolo TLS que se usa en la conexión TLS
Para la TLS bidireccional, Edge puede capturar la misma información que la TLS unidireccional. y captura información sobre el certificado del cliente. Por ejemplo, Edge puede capturar la huella digital SHA1. del certificado de cliente y el certificado de cliente en formato PEM.
Recopilar información para ambos TLS unidireccional y bidireccional
En la siguiente tabla, se enumeran las variables de flujo que contienen información de conexión TLS capturada
por Edge y se podrá acceder a ellas en el proxy de API. Esta información se recopila para las transmisiones unidireccionales
y TLS bidireccional configurando <ConnectionProperties> como verdadero
Definición de host virtual:
| Variable de flujo | Descripción |
|---|---|
tls.cipher
|
El algoritmo de cifrado que usa la conexión TLS. |
tls.protocol
|
El protocolo que usa la conexión TLS. |
tls.server.name
|
El nombre del servidor de SNI solicitado. |
tls.session.id
|
El identificador de la sesión. Esta variable de flujo está disponible cuando configuras |
Capturar información adicional de TLS durante la TLS bidireccional
En la siguiente tabla, se enumeran las variables de flujo que contienen los detalles del certificado de cliente que captura Edge
en TLS bidireccional. Esta información se obtiene para TLS bidireccional configurando
<ClientProperties> como verdadero en la definición del host virtual:
| Variable de flujo | Descripción |
|---|---|
tls.client.s.dn
|
El nombre distinguido (DN) de la entidad emisora del certificado de cliente. |
tls.client.i.dn
|
El nombre distinguido (DN) de la entidad emisora del certificado de cliente. |
tls.client.raw.cert
|
El certificado de cliente en formato PEM. |
tls.client.cert.serial
|
El número de serie del certificado de cliente. |
tls.client.cert.fingerprint
|
La huella digital SHA1 del certificado de cliente. |
tls.session.id
|
El identificador de la sesión. Esta variable de flujo está disponible cuando se establece
|
Configura un host virtual para capturar información de TLS
Si deseas configurar el host virtual para capturar información de TLS, establece las siguientes propiedades
de <PropagateTLSInformation> a true.
<ConnectionProperties>: Habilita la captura de información de conexión TLS. para TLS unidireccional y bidireccional. El valor predeterminado esfalse.<ClientProperties>: Habilita la captura de información adicional. para TLS bidireccional. El valor predeterminado esfalse.
Por ejemplo, la siguiente definición de host virtual usa TLS bidireccional y permite la captura de ambos tipos de información de TLS:
<VirtualHost name="secure">
....
<SSLInfo>
<Enabled>true</Enabled>
# Enable two-way TLS.
<ClientAuthEnabled>true</ClientAuthEnabled>
<IgnoreValidationErrors>false</IgnoreValidationErrors>
<KeyAlias>ks-alias</KeyAlias>
<KeyStore>ref://ks-ref</KeyStore>
<TrustStore>ref://ts-ref</TrustStore>
</SSLInfo>
<PropagateTLSInformation>
<ConnectionProperties>true</ConnectionProperties>
<ClientProperties>true</ClientProperties>
</PropagateTLSInformation>
</VirtualHost>
Si pasas un cuerpo JSON, configura las propiedades de la siguiente manera:
"propagateTLSInformation" : {
"connectionProperties" : true,
"clientProperties" : true
}
Establece límites de tamaño para los encabezados
Cuando habilitas la captura de información de TLS en un host virtual, Edge pasa esa información con encabezados HTTP. Por lo tanto, debe asegurarse de que los límites de tamaño del encabezado estén establecidos correctamente. según si usas el perímetro para la nube o el perímetro para la nube privada:
- Edge for the Cloud: Apigee establece los tamaños de encabezado de manera adecuada.
- Edge for the Private Cloud: Función no disponible.
Acceder a las variables de flujo en un proxy de API
Desde tu proxy de API, puedes acceder a las variables de flujo de TLS y, luego, inspeccionarlas. Por ejemplo, puedes usar AssignMessage para acceder a ellos, acceder a ellos en JavaScript con la política de JavaScript.
También puedes hacer referencia a las variables de flujo en un elemento <Condition> de un proxy o flujo de destino.
o en <Step> o <RouteRule>. Por ejemplo, puedes enrutar
una solicitud a diferentes destinos
según el número de serie del cliente.
Para obtener más información, consulta lo siguiente: