HTTPS エンドポイントにルーティングするとき、Route via HTTP(S) assertion が失敗する

Document created by Ryoji_Kadota Employee on Jul 21, 2017Last modified by Ryoji_Kadota Employee on Jul 24, 2017
Version 1Show Document
  • View in full screen mode

文書番号: JTEC002591
製品名: CA API Gateway
バージョン: ALL
OS: ALL

 

 

◆概要
これは、Layer7 Gatewayのversion6.2に固有のSSL / TLSプロバイダ依存パッケージの既知の不具合です。この問題は、エンドポイントがGatewayのSSL / TLSプロバイダーが想定している方法でSSL / TLS接続を終了しない場合に発生します。この問題は、Microsoft IISを使用するエンドポイントに最も頻繁に関連付けられていますが、そのプラットフォームに限定されるものではありません。

 

Gatewayのログファイルに次のエラーメッセージが表示されることがあります。
WARNING 409 com.l7tech.server.policy.assertion.ServerHttpRoutingAssertion: 4042: Problem routing to https://server.domain.com/service. Error msg: Unable to obtain HTTP response from https://server.domain.com/service: Inbound closed before receiving peer's close_notify: possible truncation attack?

 

◆解決

バージョン6.2以前
Layer7 Gatewayでインストールされた別のSSL / TLSプロバイダーを使用するように再構成する必要があります。代替SSL / TLSプロバイダを使用するには、次の設定行を/opt/SecureSpan/Gateway/node/default/etc/conf.system.propertiesに追加し、Layer7 Gatewayアプライアンスを再起動してください:
com.l7tech.security.tlsProvider = SunJSSE

 

バージョン7.0以降
このエラーを明示的に無視するようにAPI Gatewayに指示する必要があります。次のクラスタ全体のプロパティを追加し、クラスタ内のすべてのノードでssgサービスを再起動して、この動作を無視するようにAPI Gatewayを構成します。
io.https.response.truncationProtection.disable=TRUE


影響
これにより、暗号スイートや他の微妙なハンドシェイクの設定に影響を与える可能性があります。既存の実装との相互運用性を確認するために、実装前のテスト環境でも十分なテストが行われていることを確認してください。

この再構成によって他のサービスとの問題が生じた場合は、プロパティを削除してGatewayアプライアンスを再起動することで、変更を無効にすることができます。あるサービスで問題を回避できる状況が発生しても、別のサービスが壊れる場合は、両方の問題を解決するために、Gatewayをバージョン7.0以降にアップグレードする必要があります。

 

                                                                                                                                                                                               

この情報は、CA Support Online に掲載されている以下のナレッジベースを翻訳したものです。
TEC0000001222 : Route via HTTP(S) assertion fails when routing to HTTPS endpoint

Attachments

    Outcomes