Halaman ini berlaku untuk Apigee dan Apigee Hybrid.
Baca dokumentasi
Apigee Edge.
Topik ini menjelaskan cara mengakses informasi koneksi TLS dalam variabel alur untuk proxy API yang berjalan pada Apigee atau Apigee Hybrid.
Menangkap informasi koneksi TLS
Selama permintaan ke proxy API, Apigee dapat mengambil informasi tentang koneksi TLS. Selanjutnya, proxy API Anda dapat mengakses informasi tersebut melalui variabel alur untuk melakukan analisis dan validasi tambahan.
Jenis informasi TLS yang diambil oleh Apigee bergantung pada apakah Ingress dikonfigurasi untuk mendukung TLS satu arah atau dua arah (hanya berlaku dengan Apigee Hybrid). Misalnya, untuk TLS satu arah, Apigee dapat menangkap informasi tentang cipher TLS atau protokol TLS yang digunakan dalam koneksi TLS.
Untuk TLS dua arah, Apigee dapat menangkap semua informasi yang sama seperti yang diambil untuk TLS satu arah, dan juga mengambil informasi tentang sertifikat klien. Misalnya, Apigee dapat mengambil sidik jari SHA1 sertifikat klien dan sertifikat klien dalam format PEM.
Memperoleh informasi untuk TLS satu arah dan dua arah
Tabel berikut mencantumkan variabel alur yang berisi informasi koneksi TLS yang direkam oleh Apigee dan Apigee Hybrid, serta tersedia untuk diakses di proxy API.
| Variabel flow | Deskripsi |
tls.cipher
|
Cipher yang digunakan oleh koneksi TLS. |
tls.protocol
|
Protokol yang digunakan oleh koneksi TLS. |
tls.server.name
|
Nama server SNI yang diminta. |
tls.session.id
|
ID sesi. |
Menangkap informasi TLS tambahan selama TLS dua arah
Tabel berikut mencantumkan variabel alur yang berisi detail sertifikat klien yang diambil oleh Apigee Hybrid dalam TLS dua arah:
| Variabel flow | Deskripsi |
tls.client.s.dn
|
Nama yang Dibedakan (DN) subjek di sertifikat klien. |
tls.client.i.dn
|
Nama yang Dibedakan (DN) penerbit sertifikat klien. |
tls.client.raw.cert
|
Sertifikat klien dalam format PEM. |
tls.client.cert.serial
|
Nomor seri sertifikat klien. |
tls.client.cert.fingerprint
|
Sidik jari SHA1 sertifikat klien. |
tls.session.id
|
ID sesi. |
Mengonfigurasi Apigee Hybrid untuk mengaktifkan TLS dua arah
Untuk mengonfigurasi ingress guna meminta sertifikat klien, tambahkan detail berikut ke file penggantian:
virtualhosts:
- name: internal
minTLSProtocolVersion: "1.2" #optional
maxTLSProtocolVersion: "1.2" #optional
tlsMode: MUTUAL
sslSecret: tls-certificates
Lihat juga Mengonfigurasi TLS dan mTLS pada traffic masuk Istio.
Mengakses variabel flow di proxy API
Dari dalam proxy API, Anda dapat mengakses dan memeriksa variabel alur TLS. Misalnya, Anda dapat menggunakan kebijakan AssignMessage atau JavaScript untuk mengaksesnya.
Anda juga dapat mereferensikan variabel flow dalam elemen <Condition> proxy atau flow target, atau dalam <Step> atau <RouteRule>. Misalnya, Anda dapat mengarahkan permintaan ke target yang berbeda berdasarkan SN klien.
Untuk informasi lebih lanjut, lihat: