Amazon API Gateway devolvió un error en mi solicitud de API similar al siguiente: «Execution failed due to configuration error: General SSLEngine problem»
Resolución
Las solicitudes de API Gateway realizan un protocolo de enlace SSL en el backend. Los protocolos de enlace SSL de API Gateway correctos deben incluir los siguientes requisitos:
Una CA compatible
La CA debe ser compatible con API Gateway para HTTP, proxy HTTP e integraciones privadas. Para comprobar la huella digital de la CA, ejecute el siguiente comando de OpenSSL para su sistema operativo:
Linux
openssl x509 -in cert.pem -fingerprint -sha256 -noout
openssl x509 -in cert.pem -fingerprint -sha1 -noout
Windows
openssl x509 -noout -fingerprint -sha256 -inform pem -in [certificate-file.crt]
openssl x509 -noout -fingerprint -sha1 -inform pem -in [certificate-file.crt]
Un certificado de ACM válido que no haya caducado
Para comprobar la fecha de caducidad del certificado, ejecute el siguiente comando de OpenSSL:
openssl x509 -in certificate.crt -text -noout
En el resultado, compruebe la marca de tiempo de validez:
Validity
Not Before: Apr 29 12:49:02 2020 GMT
Not After : Apr 29 12:49:02 2021 GMT
En este resultado de ejemplo, el certificado es válido el 29 de abril de 2020 y vence después del 29 de abril de 2021.
Un certificado de CA válido
Para comprobar la configuración del certificado de CA, ejecute el siguiente comando de OpenSSL:
openssl s_client -connect example.com:443 -showcerts
Valide que:
- El asunto del intermediario y del certificado coincide con el del emisor del certificado de la entidad.
- El asunto del certificado raíz coincide con los emisores del certificado del intermediario.
- El asunto y el emisor son los mismos en el certificado raíz.
Un certificado que no supere los 2048 bits
Para comprobar el tamaño del certificado, ejecute el siguiente comando de OpenSSL:
openssl x509 -in badssl-com.pem -text -noout | grep -E '(Public-Key):'
Nota: El tamaño del certificado no puede superar los 2048 bits.
Si su certificado no cumple ninguno de estos requisitos, primero actualice su CA privada. A continuación, vuelva a emitir un certificado nuevo con AWS Certificate Manager (ACM).
Información relacionada
Integraciones privadas para las API de REST en API Gateway