Probleme mit der API Endpoint bei Verwendung von Zscaler

Einführung

Einige Organisationen verwenden eine restriktive Firewall, wie sie beispielsweise mit Zscaler konfiguriert wurde, um ihre Backend Endpoints zu sichern.

Dies kann zu Problemen führen, wenn diese Endpoints versuchen, auf mit TLS gesicherte API-Manager APIs zuzugreifen. Da die Backend-Systeme möglicherweise keinen Zugriff auf öffentliche Zertifizierungsstellen (CAs) haben, importieren manche Organisationen das Jitterbit-Zertifikat möglicherweise manuell in ihren Backend-Zertifikatspeicher. Dieser Ansatz kann zu Problemen führen, wenn Jitterbit sein Zertifikat erneuert.

Der Zugriff auf eine Zertifizierungsstelle über ein von Zscaler verwaltetes Netzwerk - insbesondere bei eingeschränktem HTTPS-Zugriff - erfordert genaue Kenntnisse der Sicherheitsrichtlinien Ihres Unternehmens. Berücksichtigen Sie diese Richtlinien bei der Auswahl der Optionen für den Zugriff auf Zertifizierungsstellen in einer eingeschränkten Umfeld.

Grundlegendes zum Zscaler-Interception

Zscaler führt SSL/TLS-Interception für HTTPS-Verkehr durch, um diesen zu prüfen und zu sichern. Dies bedeutet typischerweise:

• Zscaler präsentiert Clients sein eigenes Stammzertifikat anstelle des Zertifikats der ursprünglichen Website.
• Das Unternehmen muss das Stammzertifikat von Zscaler im vertrauenswürdigen Zertifikatspeicher aller Geräte installieren, die auf HTTPS-Ressourcen zugreifen.

Optionen für den Zugriff auf externe Zertifizierungsstellen in einer eingeschränkten Umfeld

Installieren Sie das Stammzertifikat von Zscaler

1. Besorgen Sie sich das Zscaler-Stammzertifikat von Ihrer IT-Abteilung oder dem Zscaler-Admin-Portal.

2. Installieren Sie es im Betriebssystem/Browser oder im Vertrauensspeicher des Endpoint:

   • Windows: Verwenden certmgr.msc.
   • Linux: Hinzufügen zu /usr/local/share/ca-certificates/ und rennen update-ca-certificates.
   • macOS: Verwenden Sie den Schlüsselbundzugriff.

Verwenden Sie ein Proxy-fähiges Tool

Wenn Sie Zertifikate abrufen oder mit einem CA-Server kommunizieren müssen, verwenden Sie Tools, die HTTP-Proxys unterstützen (z. B. curl, wget, openssl) und legen Sie fest, dass sie über Zscaler Route werden. Beispiel mit curl:

curl --proxy http://proxy.company.com:8080 https://ca.example.com

Für OpenSSL empfiehlt sich die Konfiguration eines Proxys auf Systemebene oder ein Tunnel über ein Tool wie cntlm.

Beantragen Sie eine Ausnahme von der Richtlinie (falls erforderlich)

Wenn der Zugriff auf eine bestimmte Zertifizierungsstelle oder einen bestimmten Endpoint blockiert ist, können Sie eine Ausnahme anfordern:

• Senden Sie eine Anfrage für eine vorübergehende oder dauerhafte Ausnahme an Ihr Netzwerksicherheitsteam oder Ihren Zscaler-Administrator.
• Geben Sie den Hostnamen, den Zweck und den Port an (normalerweise 443).

Zugriff über PAC-Dateiregeln

Wenn Ihre Umfeld eine Proxy Auto-Config (PAC)-Datei verwendet, werden Ihre Anfragen je nach Domäne möglicherweise unterschiedlich weitergeleitet:

• Überprüfen Sie die PAC-Dateiregeln (zum Beispiel http://proxy.company.com/proxy.pac), um zu sehen, ob der CA- Endpoint explizit blockiert oder falsch geroutet ist.
• Arbeiten Sie mit der IT zusammen, um die PAC-Datei bei Bedarf zu ändern.

Verwenden Sie eine interne Zertifizierungsstelle oder einen Spiegel

Manche Organisationen spiegeln externe CA-Repositorys intern. Prüfen Sie, ob Ihre Organisation Root-/Zwischen-CAs im Intranet spiegelt. Beispielsweise können interne NGINX- oder Apache-Hosts Root-Zertifikate über HTTP bereitstellen.

Tipps zur Fehlerbehebung

• Nutzen Sie Tools wie openssl s_client -connect ca.example.com:443 Zur Überprüfung der Konnektivität und der Zertifikatsvorlage.
• Überprüfen Sie Browser- oder Systemprotokolle auf SSL-Fehler.
• Verwenden Sie die Paketerfassung (Wireshark oder tcpdump), um zu bestätigen, ob der Datenverkehr den CA-Server erreicht oder auf halbem Weg blockiert wird.