400 잘못된 요청 - SSL 인증서 오류

현재 Apigee Edge 문서가 표시되고 있습니다.
Apigee X 문서로 이동 정보

증상

클라이언트 애플리케이션이 'SSL 인증서 오류'라는 메시지와 함께 HTTP 400 - Bad request 응답을 수신합니다. 이 오류는 일반적으로 Apigee Edge로 들어오는 연결에 대해 양방향 TLS 설정으로 에지 라우터에서 전송됩니다.

오류 메시지

클라이언트 애플리케이션은 다음 응답 코드를 가져옵니다.

HTTP/1.1 400 Bad Request

그 다음에 아래 HTML 오류 페이지가 표시됩니다.

<html>
  <head>
    <title>400 The SSL certificate error</title>
  </head>
  <body bgcolor="white">
    <center> <h1>400 Bad Request</h1>
    </center>
    <center>The SSL certificate error</center>
    <hr>
    <center>nginx</center>
  </body>
</html>

가능한 원인

이 문제의 가능한 원인은 다음과 같습니다.

원인 설명 해당하는 문제 해결 안내
클라이언트 인증서 만료 클라이언트에서 보낸 인증서가 만료되었습니다. 에지 프라이빗 및 퍼블릭 클라우드 사용자
클라이언트에서 잘못된 인증서를 전송했습니다. 이 오류는 클라이언트 애플리케이션에서 전송한 인증서가 Edge 라우터의 트러스트 저장소에 저장된 인증서와 일치하지 않으면 발생합니다. 에지 프라이빗 및 퍼블릭 클라우드 사용자
Truststore에 클라이언트 루트 인증서 누락 이 오류는 클라이언트의 CA 서명 루트 인증서가 Edge 라우터의 트러스트 저장소에 누락된 경우 발생합니다. 에지 프라이빗 및 퍼블릭 클라우드 사용자
에지 라우터에 클라이언트 인증서가 로드되지 않음 이 오류는 트러스트 저장소에 업로드된 클라이언트 인증서가 라우터에 로드되지 않는 경우 발생합니다. Edge Private Cloud 사용자

원인: 만료된 클라이언트 인증서

이 문제는 일반적으로 클라이언트에서 전송한 인증서가 만료되는 양방향 TLS에서 발생합니다. 양방향 TLS에서는 클라이언트와 서버가 모두 공개 인증서를 교환하여 핸드셰이크를 수행합니다. 클라이언트는 서버 인증서의 유효성을 검사하고 서버는 클라이언트 인증서의 유효성을 검사합니다.

Edge에서 양방향 TLS는 가상 호스트에서 구현됩니다. 가상 호스트에서는 키 저장소에 서버 인증서가 추가되고 트러스트 저장소에 클라이언트 인증서가 추가됩니다.

TLS 핸드셰이크 중에 클라이언트 인증서가 만료된 것이 확인되면 서버는 'SSL 인증서 오류'라는 메시지와 함께 400 - 잘못된 요청을 전송합니다.

진단

  1. Edge UI에 로그인하여 API 요청이 이루어지는 특정 가상 호스트 구성(관리자 > 가상 호스트)을 확인하거나 Get virtual host API 관리 API를 사용하여 특정 가상 호스트의 정의를 가져옵니다.

    일반적으로 양방향 TLS 통신을 위한 가상 호스트는 다음과 같습니다.

    <VirtualHost name="myTLSVHost">
    <HostAliases>
        <HostAlias>api.myCompany.com</HostAlias>
    </HostAliases>
    <Port>443</Port>
    <SSLInfo>
        <Enabled>true</Enabled>
        <ClientAuthEnabled>true</ClientAuthEnabled>
        <KeyStore>ref://myKeystoreRef</KeyStore>
        <KeyAlias>myKeyAlias</KeyAlias>
        <TrustStore>ref://myTruststoreRef</TrustStore>
    </SSLInfo>
</VirtualHost>

  2. 가상 호스트에 사용되는 Truststore 참조를 결정합니다. 위 예에서 Truststore 참조 이름은 myTruststoreRef.

  3. Truststore 참조가 가리키는 Truststore를 결정합니다.
    1. Edge UI에서 관리자 > 환경 > 참조로 이동하여 Truststore 참조 이름을 검색합니다.

    2. 특정 Truststore 참조의 참조 열에 있는 이름을 확인합니다. 이 이름이 트러스트 저장소 이름이 됩니다.

      참조 목록을 보여주는 Edge UI
      그림 1

      위의 예에서 myTruststoreRef에는 myTruststore에 대한 참조가 있습니다. 따라서 트러스트 저장소 이름은 myTruststore입니다.

  4. Edge UI의 관리 > 환경 > TLS 키 저장소에서 TLS 키 저장소로 이동하여 3단계에서 찾은 트러스트 저장소를 찾습니다.

  5. 아래와 같이 특정 Truststore의 인증서 (위의 3단계에서 결정됨)를 선택합니다.

    그림 2

    위의 예에서 별칭이 client-cert-markw인 인증서가 만료되었음을 알 수 있습니다.

  6. 트러스트 저장소의 인증서 별칭에 대해 인증서가 만료되었는지 확인합니다.
  7. 인증서가 만료되지 않았다면 다른 원인에 대한 일반 진단 단계로 이동합니다.

해상도

새 인증서를 조달하고 인증서를 업로드합니다.

  1. 새 트러스트 저장소(예: myNewTruststore.
  2. 새로 만든 트러스트 저장소에 새 인증서를 업로드합니다.

  3. 참조 수정에 제공된 단계에 따라 특정 가상 호스트에 사용된 trustore 참조를 수정하여 새 트러스트 저장소를 가리킵니다.

    위에 설명된 예에서 참조 myTruststoreRef가 myNewTruststore.를 가리킵니다.

기타 원인에 대한 일반적인 진단 단계

  1. 이 문제를 조사하려면 tcpdump 도구를 사용하여 TCP/IP 패킷을 캡처해야 합니다.
    1. Private Cloud 사용자는 클라이언트 애플리케이션 또는 라우터에서 TCP/IP 패킷을 캡처할 수 있습니다.
    2. 퍼블릭 클라우드 사용자인 경우 클라이언트 애플리케이션에서 TCP/IP 패킷을 캡처합니다.

    3. TCP/IP 패킷을 캡처할 위치를 결정했으면 다음 tcpdump 명령어를 사용하여 TCP/IP 패킷을 캡처합니다.

      tcpdump -i any -s 0 host <IP address> -w <File name>

      참고: 라우터에서 TCP/IP 패킷을 가져오는 경우 tcpdump 명령어에 클라이언트 애플리케이션의 공개 IP 주소를 사용하세요.

      클라이언트 애플리케이션에서 TCP/IP 패킷을 가져오는 경우 tcpdump 명령어에 가상 호스트에 사용된 호스트 이름의 공개 IP 주소를 사용합니다.

      이 도구에 대한 자세한 내용과 이 명령어의 다른 변형은 tcpdump를 참조하세요.

  2. Wireshark 도구 또는 사용자에게 익숙한 유사한 도구를 사용하여 수집된 TCP/IP 패킷을 분석합니다.

다음은 Wireshark 도구를 사용하여 샘플 TCP/IP 패킷 데이터 분석입니다.

  1. tcpdump (아래 이미지)의 패킷 #30은 클라이언트 애플리케이션 (소스)이 'Client Hello' 메시지를 라우터 (대상)로 보냈음을 보여줍니다.
  2. 패킷 #34는 라우터가 클라이언트 애플리케이션의 Client Hello 메시지를 확인함을 보여줍니다.
  3. 라우터는 35번 패킷에 'Server Hello'를 전송한 다음 인증서를 전송하며, 클라이언트 애플리케이션에 38번 패킷에서 인증서를 전송하도록 요청합니다.
  4. 라우터가 'Certificate Request' 패킷을 전송하는 패킷 #38에서 라우터 (서버)가 허용하는 클라이언트 인증서, 체인, 인증 기관에 대한 세부정보를 제공하는 'Distinguished Names' 섹션을 확인합니다.
    5. 그림 3

  5. 클라이언트 애플리케이션은 패킷 # 41에서 인증서를 전송합니다. 패킷 # 41의 인증서 확인 섹션을 확인하고 클라이언트 애플리케이션에서 보낸 인증서를 확인합니다.

    그림 4
  6. 클라이언트 애플리케이션에서 보낸 인증서의 발급기관과 발급기관, 그리고 인증서의 체인 (패킷 #41)이 허용된 인증서 및 라우터(패킷 #38)의 체인과 일치하는지 확인합니다. 일치하지 않을 경우 이로 인해 이 오류가 발생합니다. 따라서 라우터(서버)는 암호화된 알림 (패킷 #57)과 그 뒤에 오는 FIN, ACK (패킷 58)를 클라이언트 애플리케이션에 보내고 결국 연결이 종료됩니다.
  7. 인증서와 인증서 체인의 불일치는 다음 섹션에 설명된 시나리오로 인해 발생할 수 있습니다.

원인: 클라이언트에서 잘못된 인증서를 보냈습니다.

이는 일반적으로 클라이언트 애플리케이션에서 전송한 인증서 및/또는 인증서 체인의 주체/발급자가 라우터 (서버의 트러스트 저장소)에 저장된 인증서 또는 체인과 일치하지 않는 경우에 발생합니다.

진단

  1. Edge UI에 로그인하여 API 요청이 이루어지는 특정 가상 호스트 구성(관리자 > 가상 호스트)을 확인하거나 Get virtual host API 관리 API를 사용하여 특정 가상 호스트의 정의를 가져옵니다.

    일반적으로 양방향 TLS 통신을 위한 가상 호스트는 다음과 같습니다.

        <VirtualHost name="myTLSVHost">
        <HostAliases>
            <HostAlias>api.myCompany.com</HostAlias>
        </HostAliases>
        <Port>443</Port>
        <SSLInfo>
            <Enabled>true</Enabled>
            <ClientAuthEnabled>true</ClientAuthEnabled>
            <KeyStore>ref://myKeystoreRef</KeyStore>
            <KeyAlias>myKeyAlias</KeyAlias>
                <TrustStore>ref://myCompanyTruststoreRef</TrustStore>
        </SSLInfo>
    </VirtualHost>
  2. 가상 호스트에 사용되는 Truststore 참조를 결정합니다.

    위 예에서 Truststore 참조 이름은 myCompanyTruststoreRef입니다.

  3. Truststore 참조가 가리키는 Truststore를 결정합니다.
    1. Edge UI에서 관리자 > 환경 참조로 이동하여 Truststore 참조 이름을 검색합니다.

    2. 특정 Truststore 참조의 참조 열에 있는 이름을 확인합니다. 이 이름이 트러스트 저장소 이름이 됩니다.

      트러스트 저장소 참조를 보여주는 Edge UI
      그림 5

      위 예에서 myCompanyTruststoreRef에는 myCompanyTruststore에 대한 참조가 있습니다. 따라서 Truststore 이름은 myCompanyTruststore입니다.

  4. 다음 API를 사용하여 Truststore에 저장된 인증서 (이전 단계에서 결정됨)를 가져옵니다.

    1. 키 저장소 또는 truststore API의 인증서 나열

      이 API는 특정 Truststore의 모든 인증서를 나열합니다.

    2. 키 저장소 또는 트러스트 저장소 API에서 인증서 세부정보 가져오기

      이 API는 특정 Truststore의 특정 인증서에 대한 정보를 반환합니다.

  5. myCompanyTruststore에 저장된 각 인증서 및 체인의 발급기관 및 주체가 위의 TCP/IP 패킷 (패킷 #38 참조)에 표시된 인증서 및 체인의 발급기관과 일치하는지 확인합니다. 불일치가 있으면 트러스트 저장소에 업로드된 인증서가 Edge Router에 로드되지 않고 있음을 나타냅니다. 원인: 에지 라우터에 클라이언트 인증서가 로드되지 않음으로 이동합니다.
  6. 5단계에서 불일치가 발견되지 않으면 클라이언트 애플리케이션이 올바른 인증서와 체인을 전송하지 않았음을 나타냅니다.

해상도

클라이언트 애플리케이션에서 올바른 인증서와 체인을 Edge로 전송하는지 확인합니다.

원인: Truststore에 클라이언트 루트 인증서가 없음

이 오류는 클라이언트의 CA 서명 루트 인증서가 Edge 라우터의 트러스트 저장소에 누락된 경우 발생합니다.

진단

  1. Edge UI에 로그인하여 API 요청이 이루어지는 특정 가상 호스트 구성을 확인하거나 (관리자 > 가상 호스트 > virtual_host) Get virtual host API를 사용하여 특정 가상 호스트의 정의를 가져옵니다.

    일반적으로 양방향 TLS 통신을 위한 가상 호스트는 다음과 같습니다.

        <VirtualHost name="myTLSVHost">
        <HostAliases>
            <HostAlias>api.myCompany.com</HostAlias>
        </HostAliases>
        <Port>443</Port>
        <SSLInfo>
            <Enabled>true</Enabled>
            <ClientAuthEnabled>true</ClientAuthEnabled>
            <KeyStore>ref://myKeystoreRef</KeyStore>
            <KeyAlias>myKeyAlias</KeyAlias>
            <TrustStore>ref://myCompanyTruststoreRef</TrustStore>
        </SSLInfo>
    </VirtualHost>
  2. 가상 호스트에서 사용되는 truststore 참조를 결정합니다. 이전 예에서 truststore 참조 이름은 myCompanyTruststoreRef입니다.
  3. 트러스트 저장소 참조에서 사용 중인 실제 트러스트 저장소를 확인합니다.
  4. Edge UI에서 관리자 > 환경 > 참조로 이동하여 트러스트 저장소 참조 이름을 검색합니다.

  5. 특정 트러스트 저장소 참조의 트러스트 저장소 이름은 참조 열에 있습니다.

    그림 6

    이 예에서는 참조 열에 myCompanyTruststoreRefmyCompanyTruststore가 있습니다. 따라서 트러스트 저장소 이름은 myCompanyTruststore입니다.

  6. 다음 API를 사용하여 트러스트 저장소에 저장된 인증서 (이전 단계에서 결정됨)를 가져옵니다.
    1. keystore 또는 truststore API의 인증서를 나열합니다. 이 API는 트러스트 저장소의 모든 인증서를 나열합니다.
    2. 키 저장소 또는 truststore API에서 인증서 세부정보 가져오기 이 API는 트러스트 저장소의 특정 인증서에 관한 정보를 반환합니다.

  7. TCP/IP 패킷에 표시된 것처럼 특정 클라이언트에서 보낸 루트 인증서를 비롯한 전체 체인이 인증서에 포함되어 있는지 확인합니다 (그림 4 참조). 트러스트 저장소에는 루트 인증서와 클라이언트의 리프 인증서 또는 리프 및 중간 인증서가 포함되어야 합니다. 트러스트 저장소에 클라이언트의 유효한 루트 인증서가 누락되면 오류의 원인입니다.

    그러나 루트 인증서를 포함하여 클라이언트의 전체 인증서 체인이 트러스트 저장소에 있으면 트러스트 저장소에 업로드된 인증서가 Edge Router에 로드되지 않았을 수 있음을 나타냅니다. 이 경우 원인: Edge Router에 클라이언트 인증서가 로드되지 않음을 참조하세요.

해상도

Apigee Edge 라우터의 트러스트 저장소에서 루트 인증서를 비롯한 올바른 클라이언트의 인증서를 사용할 수 있는지 확인하세요.

원인: 에지 라우터에 클라이언트 인증서가 로드되지 않음

  1. Public Cloud 사용자인 경우 Apigee Edge 지원팀에 문의하세요.
  2. Private Cloud 사용자인 경우 각 라우터에서 아래 안내를 따르세요.
    1. 특정 가상 호스트에 대해 /opt/nginx/conf.d/OrgName_envName_vhostName-client.pem 파일이 존재하는지 확인합니다. 파일이 존재하지 않으면 아래의 해상도 섹션으로 이동합니다.
    2. 파일이 있으면 아래 openssl 명령어를 사용하여 Edge Router에서 사용할 수 있는 인증서의 세부정보를 가져옵니다. 
      openssl -in <OrgName_envName_vhostName-client.pem> -text -noout
    3. 인증서의 발급기관, 제목, 만료일을 확인합니다. 이러한 항목 중 하나라도 Edge UI의 Truststore 또는 관리 API에서 관찰된 것과 일치하지 않으면 이 때문에 오류가 발생합니다.
    4. 라우터에서 업로드된 인증서를 다시 로드하지 않았을 수 있습니다.

해상도

아래 단계에 따라 라우터를 다시 시작하여 최신 인증서가 로드되도록 합니다.

apigee-service edge-router restart

API를 다시 실행하고 결과를 확인합니다. 문제가 지속되면 진단 정보 수집으로 이동하세요.

진단 정보 수집

위 지침을 따른 후에도 문제가 지속되면 다음 진단 정보를 수집하세요. 수집한 정보를 Apigee Edge 지원팀에 연락 및 공유하세요.

  1. 퍼블릭 클라우드 사용자인 경우 다음 정보를 제공하세요.
    1. 조직 이름
    2. 환경 이름
    3. API 프록시 이름
    4. 가상 호스트 이름
    5. 호스트 별칭 이름
    6. curl 명령어를 완료하여 오류를 재현하세요.
    7. 클라이언트 애플리케이션에서 캡처된 TCP/IP 패킷
  2. Private Cloud 사용자인 경우 다음 정보를 제공하세요.
    1. Get virtual host API를 사용한 가상 호스트 이름 및 정의
    2. 호스트 별칭 이름
    3. 완료 오류 메시지 관찰됨
    4. 클라이언트 애플리케이션 또는 라우터에서 캡처한 TCP/IP 패킷입니다.
    5. keystore API의 인증서 나열 API의 출력과 Get cert details API를 사용하여 가져온 각 인증서의 세부정보입니다.
  3. 이 플레이북에서 시도해 본 섹션 및 이 문제를 빠르게 해결하는 데 도움이 되는 기타 정보에 관한 세부정보입니다.