Mengakses informasi koneksi TLS di proxy API

Halaman ini berlaku untuk Apigee dan Apigee hybrid.

Lihat Dokumentasi Apigee Edge.

Topik ini menjelaskan cara mengakses informasi koneksi TLS dalam variabel alur untuk proxy API yang berjalan di Apigee atau Apigee Hybrid.

Mengambil informasi koneksi TLS

Selama permintaan ke proxy API, Apigee dapat mengambil informasi tentang koneksi TLS. Nama Proxy API kemudian dapat mengakses informasi tersebut melalui variabel alur untuk melakukan analisis dan validasi.

Jenis informasi TLS yang diambil oleh Apigee bergantung pada apakah Ingress dikonfigurasi untuk mendukung TLS satu arah atau dua arah (hanya berlaku dengan Apigee Hybrid). Misalnya, untuk satu arah TLS, Apigee dapat menangkap informasi tentang penyandian TLS atau protokol TLS yang digunakan dalam koneksi TLS.

Untuk TLS dua arah, Apigee dapat menangkap semua informasi yang sama seperti yang direkam untuk TLS satu arah, serta mendapatkan informasi tentang sertifikat klien. Misalnya, Apigee dapat menangkap Sidik jari SHA1 sertifikat klien dan sertifikat klien dalam format PEM.

Memperoleh informasi untuk TLS satu arah dan dua arah

Tabel berikut mencantumkan variabel alur yang berisi informasi koneksi TLS yang diambil oleh Apigee dan Apigee Hybrid, serta tersedia untuk diakses di proxy API.

Variabel flow Deskripsi
tls.cipher Penyandian yang digunakan oleh koneksi TLS.
tls.protocol Protokol yang digunakan oleh koneksi TLS.
tls.server.name Nama server SNI yang diminta.
tls.session.id ID sesi.

Merekam informasi TLS tambahan selama TLS dua arah

Tabel berikut mencantumkan variabel alur yang berisi detail sertifikat klien yang diambil oleh Apigee Hybrid dalam TLS dua arah:

Variabel flow Deskripsi
tls.client.s.dn Nama yang Dibedakan (DN) subjek dari sertifikat klien.
tls.client.i.dn Nama yang Dibedakan (DN) penerbit sertifikat klien.
tls.client.raw.cert Sertifikat klien dalam format PEM.
tls.client.cert.serial Nomor seri sertifikat klien.
tls.client.cert.fingerprint Sidik jari SHA1 sertifikat klien.
tls.session.id ID sesi.

Mengonfigurasi Apigee Hybrid untuk mengaktifkan TLS dua arah

Untuk mengonfigurasi traffic masuk guna meminta sertifikat klien, tambahkan detail berikut ke bagian menimpa file:

virtualhosts:
  - name: internal
    minTLSProtocolVersion: "1.2" #optional
    maxTLSProtocolVersion: "1.2" #optional
    tlsMode: MUTUAL
    sslSecret: tls-certificates

Lihat juga Mengonfigurasi TLS dan mTLS pada Istio traffic masuk.

Mengakses variabel alur di proxy API

Dari dalam proxy API, Anda dapat mengakses dan memeriksa variabel alur TLS. Sebagai contoh, Anda dapat gunakan AssignMessage atau kebijakan JavaScript untuk mengaksesnya.

Anda juga dapat mereferensikan variabel alur dalam elemen <Condition> dari proxy atau alur target, atau dalam <Step> atau <RouteRule>. Misalnya, Anda dapat mengarahkan permintaan ke target yang berbeda berdasarkan SN klien.

Untuk informasi selengkapnya, lihat: