تمت ترجمة هذه الصفحة بواسطة Cloud Translation API‏.

الوصول إلى معلومات اتصال بروتوكول أمان طبقة النقل (TLS) في خادم وكيل لواجهة برمجة التطبيقات

أنت تطّلع على مستندات Apigee Edge.
انتقِل إلى مستندات Apigee X. info

يتيح لك Edge إنشاء مضيفين افتراضيين يتيحون بروتوكول أمان طبقة النقل (TLS) أحادي الاتجاه وثنائي الاتجاه. باستخدام بروتوكول أمان طبقة النقل (TLS) باتجاه واحد، يصدر العميل طلب جلسة إلى مضيف افتراضي تم نشره على جهاز توجيه شبكة Edge وجهاز التوجيه بشهادة تحتوي على المفتاح العام للمضيف الظاهري. بالنسبة إلى شهادة موقعة، يحتاج العميل يمكنك بعد ذلك تقديم طلب إلى هيئة إصدار الشهادات (CA) لمصادقة الشهادة.

في بروتوكول أمان طبقة النقل (TLS) الثنائي الاتجاه، يتبادل كلّ من العميل وEdge الشهادات التي تم التحقّق منها كجزء من الطلب:

يقدم جهاز توجيه Edge شهادته لعميل بروتوكول أمان طبقة النقل (TLS) لمصادقة نفسه. بعد ذلك، يُثبت العميل هوية الخادم قبل إرسال شهادته إليه.
يقدّم برنامج TLS شهادة اعتماده إلى Edge لمصادقة نفسه.

اطّلِع على لمحة عن المضيفين الظاهريين للحصول على مزيد من المعلومات.

تسجيل معلومات اتصال بروتوكول أمان طبقة النقل (TLS)

أثناء طلب خادم وكيل لواجهة برمجة التطبيقات من خلال مضيف افتراضي يدعم بروتوكول أمان طبقة النقل (TLS)، يمكن لـ Edge التقاط معلومات حول اتصال بروتوكول أمان طبقة النقل (TLS). يمكن لوكيل واجهة برمجة التطبيقات بعد ذلك الوصول إلى هذه المعلومات من خلال متغيّرات التدفق لإجراء تحليل والتحقّق إضافيَين.

يعتمد نوع معلومات بروتوكول أمان طبقة النقل (TLS) التي تحصل عليها من خلال Edge على ما إذا كان المضيف الافتراضي يتوافق مع بروتوكول أمان طبقة النقل (TLS) أحادية الاتجاه أو ثنائي الاتجاه. على سبيل المثال، بالنسبة إلى بروتوكول أمان طبقة النقل (TLS) أحادي الاتجاه، يمكن أن يُسجِّل Edge معلومات عن تشفير TLS أو بروتوكول TLS المستخدَم في اتصال TLS.

بالنسبة إلى بروتوكول TLS ثنائي الاتجاه، يمكن أن يسجِّل Edge جميع المعلومات نفسها التي يتم تسجيلها في بروتوكول TLS أحادي الاتجاه، بالإضافة إلى تسجيل معلومات عن شهادة العميل. على سبيل المثال، يمكن لـ Edge التقاط بصمة الإصبع SHA1 شهادة العميل وشهادة العميل بتنسيق PEM.

ملاحظة: يمكن أن يؤدي تفعيل ميزة تسجيل معلومات بروتوكول أمان طبقة النقل (TLS) إلى خفض

الأداء بسبب المعلومات الإضافية التي يجب أن يسجّلها Edge ويخزّنها ويعيد توجيهها إلى
الوكيل لواجهة برمجة التطبيقات.

تسجيل معلومات عن كلٍّ من بروتوكول TLS أحادي الاتجاه وثنائي الاتجاه

يسرد الجدول التالي متغيّرات التدفق التي تحتوي على معلومات اتصال بروتوكول أمان طبقة النقل (TLS) التي تم تسجيلها بواسطة Edge وتتوفّر إمكانية الوصول إليها في الخادم الوكيل لواجهة برمجة التطبيقات. يتم تسجيل هذه المعلومات لكل من بروتوكول أمان طبقة النقل (TLS) أحادي الاتجاه وبروتوكول أمان طبقة النقل (TLS) ثنائي الاتجاه من خلال ضبط <ConnectionProperties> على true في تعريف المضيف الافتراضية :

متغيّر التدفق الوصف

tls.cipher التشفير المستخدَم في اتصال TLS

tls.protocol البروتوكول الذي يستخدمه اتصال بروتوكول أمان طبقة النقل (TLS).

tls.server.name اسم خادم SNI المطلوب.

tls.session.id
معرِّف الجلسة.

يتوفّر متغيّر التدفق هذا عند ضبط <ConnectionProperties> أو <ClientProperties> أو على true.

التقاط معلومات إضافية لبروتوكول أمان طبقة النقل (TLS) أثناء ثنائي الاتجاه من بروتوكول أمان طبقة النقل (TLS)

يسرد الجدول التالي متغيّرات التدفق التي تحتوي على تفاصيل شهادة العميل التي تم تسجيلها بواسطة Edge في بروتوكول TLS ثنائي الاتجاه. يتم تسجيل هذه المعلومات لبروتوكول أمان طبقة النقل (TLS) الثنائي الاتجاه من خلال ضبط <ClientProperties> على true في تعريف المضيف الافتراضي:

متغيّر التدفق الوصف

tls.client.s.dn تمثّل هذه السمة الاسم المميز (DN) لشهادة العميل.

tls.client.i.dn الاسم المميَّز (DN) لجهة إصدار شهادة العميل

tls.client.raw.cert شهادة العميل بتنسيق PEM

tls.client.cert.serial الرقم التسلسلي لشهادة العميل

tls.client.cert.fingerprint الملف المرجعي لشهادة SHA1 الخاصة بالعميل

tls.session.id
معرّف الجلسة

يتوفر متغير التدفق هذا عند تعيين أي <ConnectionProperties> أو <ClientProperties> على "صحيح".

إعداد مضيف افتراضي لالتقاط معلومات بروتوكول أمان طبقة النقل (TLS)

لضبط المضيف الافتراضي لتسجيل معلومات بروتوكول TLS، اضبط السمات التالية ضمن <PropagateTLSInformation> إلى true.

مشاهدة الافتراضية مرجع السمة المضيف لمزيد من المعلومات حول <PropagateTLSInformation>، بما في ذلك معلومات مدى التوفّر.

<ConnectionProperties>: تفعيل التقاط معلومات اتصال بروتوكول أمان طبقة النقل (TLS) لكل من بروتوكول أمان طبقة النقل (TLS) الأحادي الاتجاه والثنائي الاتجاه. تكون القيمة التلقائية false.
<ClientProperties>: تفعيل تسجيل معلومات إضافية لبروتوكول أمان طبقة النقل (TLS) الثنائي الاتجاه القيمة التلقائية هي false.

على سبيل المثال، يستخدم تعريف المضيف الافتراضي التالي بروتوكول أمان طبقة النقل (TLS) ثنائي الاتجاه ويتيح تسجيل كلا النوعَين من معلومات بروتوكول أمان طبقة النقل:

<VirtualHost name="secure"> .... <SSLInfo> <Enabled>true</Enabled> # Enable two-way TLS. <ClientAuthEnabled>true</ClientAuthEnabled> <IgnoreValidationErrors>false</IgnoreValidationErrors> <KeyAlias>ks-alias</KeyAlias> <KeyStore>ref://ks-ref</KeyStore> <TrustStore>ref://ts-ref</TrustStore> </SSLInfo> <PropagateTLSInformation> <ConnectionProperties>true</ConnectionProperties> <ClientProperties>true</ClientProperties> </PropagateTLSInformation> </VirtualHost>

في حال تمرير نص JSON، اضبط الخصائص على النحو التالي:

"propagateTLSInformation" : { "connectionProperties" : true, "clientProperties" : true }

ضبط حدود حجم العنوان

عند تفعيل التقاط معلومات بروتوكول أمان طبقة النقل (TLS) على مضيف افتراضي، يمرِّر Edge هذه المعلومات باستخدام عناوين HTTP. وبالتالي، عليك التأكّد من ضبط حدود حجم العنوان بشكل مناسب. بناءً على ما إذا كنت تستخدم Edge for Cloud أو Edge for Cloud Private Cloud:

Edge for the Cloud: يضبط Apigee أحجام العناوين بشكلٍ مناسب.
Edge for the Private Cloud: الميزة غير متاحة.

الوصول إلى متغيّرات مسار الإحالة الناجحة في خادم وكيل لواجهة برمجة التطبيقات

من داخل الخادم الوكيل لواجهة برمجة التطبيقات، يمكنك الوصول إلى متغيّرات تدفق بروتوكول أمان طبقة النقل وفحصها. على سبيل المثال، يمكنك استخدام AssignMessage. الوصول إليها، والوصول إليها في JavaScript من خلال سياسة JavaScript.

يمكنك أيضًا الرجوع إلى متغيّرات التدفق في عنصر <Condition> في الخادم الوكيل أو التدفق الهدف، أو في <Step> أو <RouteRule>. على سبيل المثال، يمكنك توجيه طلب إلى استهدافات مختلفة استنادًا إلى رقم تعريف العميل.

لمزيد من المعلومات، يُرجى الاطّلاع على:

نظرة عامة على متغيّرات التدفق

التحكّم في كيفية تنفيذ الخادم الوكيل من خلال التدفقات

متغيّر التدفق	الوصف
`tls.cipher`	التشفير المستخدَم في اتصال TLS
`tls.protocol`	البروتوكول الذي يستخدمه اتصال بروتوكول أمان طبقة النقل (TLS).
`tls.server.name`	اسم خادم SNI المطلوب.
`tls.session.id`	معرِّف الجلسة. يتوفّر متغيّر التدفق هذا عند ضبط `<ConnectionProperties>` أو `<ClientProperties>` أو على true.

متغيّر التدفق	الوصف
`tls.client.s.dn`	تمثّل هذه السمة الاسم المميز (DN) لشهادة العميل.
`tls.client.i.dn`	الاسم المميَّز (DN) لجهة إصدار شهادة العميل
`tls.client.raw.cert`	شهادة العميل بتنسيق PEM
`tls.client.cert.serial`	الرقم التسلسلي لشهادة العميل
`tls.client.cert.fingerprint`	الملف المرجعي لشهادة SHA1 الخاصة بالعميل
`tls.session.id`	معرّف الجلسة يتوفر متغير التدفق هذا عند تعيين أي `<ConnectionProperties>` أو `<ClientProperties>` على "صحيح".