Mengakses informasi koneksi TLS di proxy API

Halaman ini berlaku untuk Apigee dan Apigee hybrid.

Lihat dokumentasi Apigee Edge.

Topik ini menjelaskan cara mengakses informasi koneksi TLS dalam variabel alur untuk proxy API yang berjalan di Apigee atau Apigee hybrid.

Merekam informasi koneksi TLS

Selama permintaan ke proxy API, Apigee dapat mengambil informasi tentang koneksi TLS. Proxy API Anda kemudian dapat mengakses informasi tersebut melalui variabel alur untuk melakukan analisis dan validasi tambahan.

Jenis informasi TLS yang diambil oleh Apigee bergantung pada apakah Ingress dikonfigurasi untuk mendukung TLS satu arah atau dua arah (hanya berlaku dengan Apigee hybrid). Misalnya, untuk TLS satu arah, Apigee dapat mengambil informasi tentang cipher TLS atau protokol TLS yang digunakan dalam koneksi TLS.

Untuk TLS dua arah, Apigee dapat mengambil semua informasi yang sama seperti yang diambil untuk TLS satu arah, dan juga mengambil informasi tentang sertifikat klien. Misalnya, Apigee dapat mengambil sidik jari SHA1 sertifikat klien dan sertifikat klien dalam format PEM.

Mengambil informasi untuk TLS satu arah dan dua arah

Tabel berikut mencantumkan variabel alur yang berisi informasi koneksi TLS yang diambil oleh Apigee dan Apigee hybrid, serta tersedia untuk diakses di proxy API.

Variabel alur Deskripsi
tls.cipher Cipher yang digunakan oleh koneksi TLS.
tls.protocol Protokol yang digunakan oleh koneksi TLS.
tls.server.name Nama server SNI yang diminta.
tls.session.id ID sesi.

Mengambil informasi TLS tambahan selama TLS dua arah

Tabel berikut mencantumkan variabel alur yang berisi detail sertifikat klien yang diambil oleh Apigee hybrid dalam TLS dua arah:

Variabel alur Deskripsi
tls.client.s.dn Nama yang Dibedakan (DN) subjek sertifikat klien.
tls.client.i.dn Nama yang Dibedakan (DN) penerbit sertifikat klien.
tls.client.raw.cert Sertifikat klien dalam format PEM.
tls.client.cert.serial Nomor seri sertifikat klien.
tls.client.cert.fingerprint Sidik jari SHA1 sertifikat klien.
tls.session.id ID sesi.

Mengonfigurasi Apigee hybrid untuk mengaktifkan TLS dua arah

Untuk mengonfigurasi ingress agar meminta sertifikat klien, tambahkan detail berikut ke file penggantian:

virtualhosts:
  - name: internal
    minTLSProtocolVersion: "1.2" #optional
    maxTLSProtocolVersion: "1.2" #optional
    tlsMode: MUTUAL
    sslSecret: tls-certificates

Lihat juga Mengonfigurasi TLS dan mTLS di ingress Istio.

Mengakses variabel alur di proxy API

Dari dalam proxy API, Anda dapat mengakses dan memeriksa variabel alur TLS. Misalnya, Anda dapat menggunakan kebijakan AssignMessage atau JavaScript untuk mengaksesnya.

Anda juga dapat mereferensikan variabel alur dalam elemen <Condition> dari proxy atau alur target, atau dalam <Step> atau <RouteRule>. Misalnya, Anda dapat merutekan permintaan ke target yang berbeda berdasarkan SN klien.

Untuk mengetahui informasi selengkapnya, lihat: