Ir para o conteúdo

Problemas de comunicação de endpoint de API ao usar Zscaler

Introdução

Algumas organizações usam um firewall restritivo, como aquele configurado com o Zscaler, para proteger seus endpoints de backend.

Isso pode criar desafios quando esses endpoints tentam acessar APIs do API Manager protegidas por TLS. Como os sistemas de backend podem não ter acesso a Autoridades Certificadoras (CAs) públicas, algumas organizações podem importar manualmente o certificado da Jitterbit para seu repositório de certificados de backend. Essa abordagem pode causar problemas quando a Jitterbit renova seu certificado.

Cuidado

Importar manualmente o certificado da Jitterbit não é uma prática recomendada pela Jitterbit. Consulte a equipe de rede que gerencia o Zscaler para obter as melhores práticas recomendadas.

Acessar uma CA por meio de uma rede gerenciada pelo Zscaler, especialmente quando o acesso HTTPS é restrito, exige conhecimento profundo das políticas de segurança da sua organização. Você deve levar essas políticas em consideração ao considerar as opções para acessar CAs em um ambiente restrito.

Compreendendo a interceptação do Zscaler

O Zscaler realiza a interceptação SSL/TLS para tráfego HTTPS a fim de inspecionar e proteger o tráfego. Isso normalmente significa:

  • O Zscaler apresenta seu próprio certificado raiz aos clientes em vez do certificado do site original.
  • A organização deve instalar o certificado raiz do Zscaler no repositório de certificados confiáveis de qualquer dispositivo que acesse recursos HTTPS.

Opções para acessar CAs externas em um ambiente restrito

Instalar o certificado raiz do Zscaler

Importante

A instalação do certificado raiz do Zscaler geralmente é necessária para que a inspeção SSL funcione sem interromper o acesso.

  1. Obtenha o certificado raiz do Zscaler no seu departamento de TI ou no Portal de administração do Zscaler.

  2. Instale-o no sistema operacional/navegador ou no armazenamento confiável do endpoint:

    • Windows: Uso certmgr.msc.
    • Linux: Adicionar a /usr/local/share/ca-certificates/ e correr update-ca-certificates.
    • macOS: Use o acesso às chaves.

Use uma ferramenta com reconhecimento de proxy

Se precisar obter certificados ou se comunicar com um servidor CA, use ferramentas que suportem proxies HTTP (por exemplo, curl, wget, openssl) e configure-os para rotear através do Zscaler. Exemplo usando curl:

curl --proxy http://proxy.company.com:8080 https://ca.example.com

Para OpenSSL, considere configurar um proxy no nível do sistema ou criar um túnel por meio de uma ferramenta como cntlm.

Solicitar uma exceção de política (se necessário)

Se o acesso a uma CA ou endpoint específico for bloqueado, você pode solicitar uma exceção:

  • Envie uma solicitação à sua equipe de segurança de rede ou ao administrador do Zscaler para uma exceção temporária ou permanente.
  • Forneça o nome do host, a finalidade e a porta (normalmente 443).

Acesso via regras de arquivo PAC

Se o seu ambiente usar um arquivo Proxy Auto-Config (PAC), suas solicitações poderão ser roteadas de forma diferente com base no domínio:

  • Verifique as regras do arquivo PAC (por exemplo, http://proxy.company.com/proxy.pac) para verificar se o endpoint da CA está explicitamente bloqueado ou roteado incorretamente.
  • Trabalhe com a TI para modificar o arquivo PAC, se necessário.

Use uma CA interna ou espelho

Algumas organizações espelham repositórios de CAs externas internamente. Verifique se a sua organização espelha CAs raiz/intermediárias dentro da intranet. Por exemplo, hosts NGINX ou Apache internos podem servir certificados raiz via HTTP.

Dicas para solução de problemas

  • Utilize ferramentas como openssl s_client -connect ca.example.com:443 para verificar a conectividade e a apresentação do certificado.
  • Verifique os logs do navegador ou do sistema em busca de erros de SSL.
  • Use a captura de pacotes (Wireshark ou tcpdump) para confirmar se o tráfego está chegando ao servidor da CA ou sendo bloqueado no meio do caminho.