Se usó la API de Cloud Translation para traducir esta página.

Configura la SNI entre el procesador de mensajes perimetrales y el servidor de backend

Estás consultando la documentación de Apigee Edge.
Consulta la documentación de Apigee X. Información

La indicación del nombre del servidor (SNI) permite que se entreguen varios servidores de backend HTTPS desde la misma dirección IP y puerto sin necesidad de que esos servidores de backend usen el mismo certificado TLS. Es una extensión del protocolo TLS. Cuando la SNI está habilitada en un cliente, este pasa el nombre de host del servidor de backend como parte del protocolo de enlace TLS inicial. Esto permite que el servidor TLS determine qué certificado TLS debe usarse para validar la solicitud del cliente.

De forma predeterminada, la SNI está inhabilitada en el componente de Message Processor en Edge para la nube privada a fin de garantizar la retrocompatibilidad con los servidores de backend existentes. Si tu servidor de backend está configurado para admitir SNI, debes habilitar la SNI en el componente de Message Processor. De lo contrario, las solicitudes a la API que pasen por Apigee Edge fallarán y mostrarán fallas del protocolo de enlace TLS.

En este documento, se explica cómo hacer lo siguiente:

Identifica si un servidor de backend está habilitado con SNI
Habilita la SNI en los procesadores de mensajes para comunicarse con los servidores de backend que admiten SNI.
Si es necesario, inhabilita la SNI en los procesadores de mensajes.
Verifica que la configuración de SNI se haya actualizado correctamente en los procesadores de mensajes.

Antes de comenzar

Si no estás familiarizado con SNI, consulta Usa SNI con Edge.
Si no estás familiarizado con la configuración de Edge en la nube privada, consulta Cómo configurar Edge.

Identificación del servidor habilitado para SNI

En esta sección, se describe cómo identificar si un servidor de backend está habilitado con la SNI.

Ejecuta el comando openssl y trata de conectarte al nombre de host del servidor relevante (router perimetral o servidor de backend) sin pasar el nombre del servidor, como se muestra a continuación:
```
openssl s_client -connect hostname:port
```

Es posible que obtengas los certificados y que, en ocasiones, observes la falla del protocolo de enlace en el comando openssl, como se muestra a continuación:

CONNECTED(00000003) 9362:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure:/BuildRoot/Library/Caches/com.apple.xbs/Sources/OpenSSL098/OpenSSL098-64.50.6/src/ssl/s23_clnt.c:593

Ejecuta el comando openssl y trata de conectarte al nombre de host del servidor relevante (router de Edge o servidor de backend) pasando el nombre del servidor como se muestra a continuación:
```
openssl s_client -connect hostname:port -servername hostname
```
Si se produce un error de protocolo de enlace en el paso 1 o si obtienes certificados diferentes en los pasos 1 y 2, significa que el servidor especificado tiene habilitada la SNI.
Si quieres verificar esto para más de un servidor de backend, debes repetir los pasos anteriores para cada servidor de backend.

Si descubres que tienes uno o más servidores de backend con SNI habilitada, debes habilitarla en el componente de Message Processor como se explica a continuación. De lo contrario, las solicitudes a la API que pasan por Apigee Edge fallarán y mostrarán fallas del protocolo de enlace TLS.

Habilita la SNI entre los procesadores de mensajes perimetrales y el servidor de backend

En esta sección, se explica cómo habilitar la SNI entre el procesador de mensajes perimetrales y el servidor de backend. La SNI se puede habilitar a través de la propiedad jsse.enableSNIExtension en el componente de Message Processor. Para configurar cualquier propiedad en Message Processor, usa el token según la sintaxis descrita en Cómo configurar Edge.

Para habilitar la SNI en los procesadores de mensajes, sigue estos pasos:

Encuentra el token para la propiedad jsse.enableSNIExtension
Habilita la SNI en el procesador de mensajes

Ubica el token de la propiedad `jsse.enableSNIExtension`

En los siguientes pasos, se describe cómo ubicar el token para la propiedad jsse.enableSNIExtension:

Busca la propiedad jsse.enableSNIExtension en el directorio del código fuente /opt/apigee/edge-message-processor/source de Message Processor con el siguiente comando:
```
grep -ri "jsse.enableSNIExtension" /opt/apigee/edge-message-processor/source
```
El resultado de este comando muestra el token de la propiedad jsse.enableSNIExtension de Message Processor de la siguiente manera:
```
/opt/apigee/edge-message-processor/source/conf/system.properties:jsse.enableSNIExtension={T}conf_system_jsse.enableSNIExtension{/T}
```
En el ejemplo anterior, la string entre las etiquetas {T}{/T} es el nombre del token que puedes configurar en el archivo .properties de Message Processor.

Por lo tanto, el token de la propiedad jsse.enableSNIExtension es el siguiente:
```
conf_system_jsse.enableSNIExtension
```

Habilita la SNI en el procesador de mensajes

En los siguientes pasos, se describe cómo habilitar la SNI en el componente de Message Processor de Apigee.

En la máquina de Message Processor, abre el siguiente archivo en un editor. Si aún no existe, créalo.
```
/opt/apigee/customer/application/message-processor.properties
```
Por ejemplo, para abrir el archivo con vi, ingresa el siguiente comando:
```
vi /opt/apigee/customer/application/message-processor.properties
```
Agrega una línea con el siguiente formato al archivo de propiedades:
```
conf_system_jsse.enableSNIExtension=true
```
Guarda los cambios.
Asegúrate de que este archivo de propiedades sea propiedad del usuario apigee, como se muestra a continuación:
```
chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
```

Reinicia Message Processor como se muestra a continuación:

/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart

Verifica que la configuración de SNI esté actualizada en el procesador de mensajes.
Si tienes más de un Message Processor, repite los pasos anteriores en todos ellos.

Inhabilita la SNI entre los procesadores de mensajes perimetrales y el servidor de backend

Por lo general, no deberías ver ningún problema después de habilitar la SNI. Sin embargo, si observas algún problema de conectividad entre Edge Message Processor y el servidor de backend después de habilitar la SNI, siempre puedes inhabilitar la SNI mediante los siguientes pasos.

La SNI se puede inhabilitar si vuelves a configurar la propiedad jsse.enableSNIExtension como false en el componente Message Processor.

Inhabilita la SNI en los procesadores de mensajes

En los siguientes pasos, se describe cómo inhabilitar la SNI en los procesadores de mensajes de Apigee.

En la máquina de Message Processor, abre el siguiente archivo en un editor. Si aún no existe, créalo.
```
/opt/apigee/customer/application/message-processor.properties
```
Por ejemplo, para abrir el archivo con vi, ingresa el siguiente comando:
```
vi /opt/apigee/customer/application/message-processor.properties
```
Si la línea conf_system_jsse.enableSNIExtension=true existe en /opt/apigee/customer/application/message-processor.properties, modifícala de la siguiente manera:
```
conf_system_jsse.enableSNIExtension=false
```
Guarda los cambios.
Asegúrate de que este archivo de propiedades sea propiedad del usuario apigee, como se muestra a continuación:
```
chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
```