¿Cómo puedo solucionar el error «Execution failed due to configuration error: General SSLEngine problem»?

2 minutos de lectura
0

Amazon API Gateway devolvió un error en mi solicitud de API similar al siguiente: «Execution failed due to configuration error: General SSLEngine problem»

Resolución

Las solicitudes de API Gateway realizan un protocolo de enlace SSL en el backend. Los protocolos de enlace SSL de API Gateway correctos deben incluir los siguientes requisitos:

Una CA compatible

La CA debe ser compatible con API Gateway para HTTP, proxy HTTP e integraciones privadas. Para comprobar la huella digital de la CA, ejecute el siguiente comando de OpenSSL para su sistema operativo:

Linux

openssl x509 -in cert.pem -fingerprint -sha256 -noout

openssl x509 -in cert.pem -fingerprint -sha1 -noout

Windows

openssl x509 -noout -fingerprint -sha256 -inform pem -in [certificate-file.crt]

openssl x509 -noout -fingerprint -sha1 -inform pem -in [certificate-file.crt]

Un certificado de ACM válido que no haya caducado

Para comprobar la fecha de caducidad del certificado, ejecute el siguiente comando de OpenSSL:

openssl x509 -in certificate.crt -text -noout

En el resultado, compruebe la marca de tiempo de validez:

Validity
            Not Before: Apr 29 12:49:02 2020 GMT
            Not After : Apr 29 12:49:02 2021 GMT

En este resultado de ejemplo, el certificado es válido el 29 de abril de 2020 y vence después del 29 de abril de 2021.

Un certificado de CA válido

Para comprobar la configuración del certificado de CA, ejecute el siguiente comando de OpenSSL:

openssl s_client -connect example.com:443 -showcerts

Valide que:

  • El asunto del intermediario y del certificado coincide con el del emisor del certificado de la entidad.
  • El asunto del certificado raíz coincide con los emisores del certificado del intermediario.
  • El asunto y el emisor son los mismos en el certificado raíz.

Un certificado que no supere los 2048 bits

Para comprobar el tamaño del certificado, ejecute el siguiente comando de OpenSSL:

openssl x509 -in badssl-com.pem -text -noout | grep -E '(Public-Key):'

Nota: El tamaño del certificado no puede superar los 2048 bits.

Si su certificado no cumple ninguno de estos requisitos, primero actualice su CA privada. A continuación, vuelva a emitir un certificado nuevo con AWS Certificate Manager (ACM).

Información relacionada

Integraciones privadas para las API de REST en API Gateway

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace un mes