Amazon API Gateway hat für meine API-Anfrage einen Fehler ähnlich dem folgenden zurückgegeben:
„Die Ausführung ist aufgrund eines Konfigurationsfehlers fehlgeschlagen: Allgemeines SSLEngine-Problem“
Lösung
API-Gateway-API-Anfragen führen einen SSL-Handshake im Backend durch. Erfolgreiche API-Gateway-SSL-Handshakes müssen die folgenden Anforderungen beinhalten:
Eine unterstützte Zertifizierungsstelle
Die CA muss von API Gateway für HTTP-, HTTP-Proxy- und private Integrationen unterstützt werden. Führen Sie den folgenden OpenSSL-Befehl für Ihr Betriebssystem aus, um den CA-Fingerabdruck zu überprüfen:
Linux
openssl x509 -in cert.pem -fingerprint -sha256 -noout
openssl x509 -in cert.pem -fingerprint -sha1 -noout
Windows
openssl x509 -noout -fingerprint -sha256 -inform pem -in [certificate-file.crt]
openssl x509 -noout -fingerprint -sha1 -inform pem -in [certificate-file.crt]
Ein gültiges ACM-Zertifikat, das nicht abgelaufen ist
Führen Sie den folgenden OpenSSL-Befehl aus, um das Ablaufdatum des Zertifikats zu überprüfen:
openssl x509 -in certificate.crt -text -noout
Prüfen Sie in der Ausgabe, ob der Gültigkeitszeitstempel gültig ist:
Validity
Not Before: Apr 29 12:49:02 2020 GMT
Not After : Apr 29 12:49:02 2021 GMT
In dieser Beispielausgabe ist das Zertifikat am 29. April 2020 gültig und läuft nach dem 29. April 2021 ab.
Ein gültiges CA-Zertifikat
Überprüfen Sie die CA-Zertifikatskonfiguration, indem Sie den folgenden OpenSSL-Befehl ausführen:
openssl s_client -connect example.com:443 -showcerts
Bestätigen Sie, dass:
- Der Betreff des Zwischenprodukts und des Zertifikats stimmt mit dem Aussteller des Entitätszertifikats überein.
- Der Betreff des Stammzertifikats entspricht den Ausstellern des Zwischenzertifikats.
- Der Betreff und der Aussteller sind im Stammzertifikat identisch.
Ein Zertifikat, das 2048 Bit nicht überschreitet
Überprüfen Sie die Größe des Zertifikats, indem Sie den folgenden OpenSSL-Befehl ausführen:
openssl x509 -in badssl-com.pem -text -noout | grep -E '(Public-Key):'
Hinweis: Die Zertifikatsgröße darf 2048 Bit nicht überschreiten.
Wenn Ihr Zertifikat keine dieser Anforderungen erfüllt, aktualisieren Sie zuerst Ihre private CA. Stellen Sie anschließend mithilfe des AWS Certificate Manager (ACM) ein neues Zertifikat erneut aus.
Ähnliche Informationen
Private API Gateway-Integrationen einrichten