Comment puis-je résoudre l'erreur API Gateway « L'exécution a échoué en raison d'une erreur de configuration : problème général SSLEngine » ?

Lecture de 2 minute(s)
0

Amazon API Gateway a renvoyé une erreur similaire à la suivante pour ma demande d'API : « L'exécution a échoué en raison d'une erreur de configuration : problème général SSLEngine »

Solution

Les requêtes API Gateway effectuent une prise de contact SSL sur le backend. Les handshakes SSL API Gateway réussis doivent inclure les exigences suivantes :

Une autorité de certification prise en charge

L'autorité de certification doit être prise en charge par API Gateway pour le HTTP, le proxy HTTP et les intégrations privées. Pour vérifier l'empreinte de l'autorité de certification, exécutez la commande OpenSSL suivante pour votre système d'exploitation :

Linux

openssl x509 -in cert.pem -fingerprint -sha256 -noout

openssl x509 -in cert.pem -fingerprint -sha1 -noout

Windows

openssl x509 -noout -fingerprint -sha256 -inform pem -in [certificate-file.crt]

openssl x509 -noout -fingerprint -sha1 -inform pem -in [certificate-file.crt]

Un certificat ACM valide qui n'a pas expiré

Pour vérifier la date d'expiration du certificat, exécutez la commande OpenSSL suivante :

openssl x509 -in certificate.crt -text -noout

Dans la sortie, vérifiez l'horodatage de validité :

Validity
            Not Before: Apr 29 12:49:02 2020 GMT
            Not After : Apr 29 12:49:02 2021 GMT

Dans cet exemple de sortie, le certificat est valide le 29 avril 2020 et expire après le 29 avril 2021.

Un certificat CA valide

Vérifiez la configuration du certificat CA en exécutant la commande OpenSSL suivante :

openssl s_client -connect example.com:443 -showcerts

Validez que :

  • L'objet de l'intermédiaire et du certificat correspond à celui de l'émetteur du certificat d'entité.
  • L'objet du certificat racine correspond aux émetteurs du certificat intermédiaire.
  • L'objet et l'émetteur sont identiques dans le certificat racine.

Un certificat ne dépassant pas 2048 bits

Vérifiez la taille du certificat d'appareil en exécutant la commande OpenSSL suivante :

openssl x509 -in badssl-com.pem -text -noout | grep -E '(Public-Key):'

Remarque : La taille du certificat ne peut pas dépasser 2048 bits.

Si votre certificat ne répond à aucune de ces exigences, mettez d'abord à jour votre autorité de certification privée. Réémettez ensuite un nouveau certificat à l'aide d'AWS Certificate Manager (ACM).


Informations connexes

Configurer les intégrations privées d'API Gateway

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un an