Amazon API Gateway a renvoyé une erreur similaire à la suivante pour ma demande d'API :
« L'exécution a échoué en raison d'une erreur de configuration : problème général SSLEngine »
Solution
Les requêtes API Gateway effectuent une prise de contact SSL sur le backend. Les handshakes SSL API Gateway réussis doivent inclure les exigences suivantes :
Une autorité de certification prise en charge
L'autorité de certification doit être prise en charge par API Gateway pour le HTTP, le proxy HTTP et les intégrations privées. Pour vérifier l'empreinte de l'autorité de certification, exécutez la commande OpenSSL suivante pour votre système d'exploitation :
Linux
openssl x509 -in cert.pem -fingerprint -sha256 -noout
openssl x509 -in cert.pem -fingerprint -sha1 -noout
Windows
openssl x509 -noout -fingerprint -sha256 -inform pem -in [certificate-file.crt]
openssl x509 -noout -fingerprint -sha1 -inform pem -in [certificate-file.crt]
Un certificat ACM valide qui n'a pas expiré
Pour vérifier la date d'expiration du certificat, exécutez la commande OpenSSL suivante :
openssl x509 -in certificate.crt -text -noout
Dans la sortie, vérifiez l'horodatage de validité :
Validity
Not Before: Apr 29 12:49:02 2020 GMT
Not After : Apr 29 12:49:02 2021 GMT
Dans cet exemple de sortie, le certificat est valide le 29 avril 2020 et expire après le 29 avril 2021.
Un certificat CA valide
Vérifiez la configuration du certificat CA en exécutant la commande OpenSSL suivante :
openssl s_client -connect example.com:443 -showcerts
Validez que :
- L'objet de l'intermédiaire et du certificat correspond à celui de l'émetteur du certificat d'entité.
- L'objet du certificat racine correspond aux émetteurs du certificat intermédiaire.
- L'objet et l'émetteur sont identiques dans le certificat racine.
Un certificat ne dépassant pas 2048 bits
Vérifiez la taille du certificat d'appareil en exécutant la commande OpenSSL suivante :
openssl x509 -in badssl-com.pem -text -noout | grep -E '(Public-Key):'
Remarque : La taille du certificat ne peut pas dépasser 2048 bits.
Si votre certificat ne répond à aucune de ces exigences, mettez d'abord à jour votre autorité de certification privée. Réémettez ensuite un nouveau certificat à l'aide d'AWS Certificate Manager (ACM).
Informations connexes
Configurer les intégrations privées d'API Gateway