El tráfico de red iniciado por Dialogflow para las solicitudes de webhook se envía en una red pública. Para garantizar que el tráfico sea seguro y confiable en ambas direcciones, Dialogflow admite como opción la autenticación mutua de TLS (mTLS). Durante el protocolo de enlace TLS estándar de Dialogflow, tu servidor de webhook presenta un certificado que Dialogflow puede validar, ya sea siguiendo la cadena de autoridades certificadoras o comparando el certificado con un certificado de AC personalizado. Si habilitas mTLS en tu servidor de webhook, este podrá autenticar el certificado de Google que presenta Dialogflow a tu servidor de webhook para su validación, lo que completará el establecimiento de confianza mutua.
Solicita mTLS
Para solicitar una mTLS, sigue estos pasos:
- Prepara tu servidor HTTPS de webhook para que solicite el certificado de cliente durante el protocolo de enlace TLS.
- Tu servidor de webhook debe verificar el certificado de cliente cuando lo recibe.
- Instala una cadena de certificados para tu servidor de webhook, en el que el cliente y el servidor puedan confiar de forma mutua. Las aplicaciones que se conectan a los servicios de Google deben confiar en todas las autoridades certificadoras que se enumeran en los Google Trust Services. Puedes descargar certificados raíz desde https://pki.goog/.
Ejemplo de llamada a un servidor de webhook con mTLS
En este ejemplo, se usa el agente que se muestra en la guía de inicio rápido con un servidor webhook que ejecuta openssl
.
- Configuración de ejemplo
- Un agente de Dialogflow CX que recibe pedidos de camisas y los envía a un webhook que apunta a un servidor web independiente.
- Una clave privada para la comunicación de TLS en un archivo llamado
key.pem
- Una cadena de certificados firmada por una AC (autoridad certificadora) de confianza pública en un archivo llamado
fullchain.pem
-
Ejecuta el programa
openssl s_server
en la máquina del servidor.sudo openssl s_server -key key.pem -cert fullchain.pem -accept 443 -verify 1
- Se envía una solicitud al agente desde una máquina cliente. En este ejemplo, la solicitud es “Quiero comprar una camisa roja grande”. Esta solicitud se puede enviar con la consola de Dialogflow o a través de una llamada a la API.
-
Resultado de
openssl s_server
en la máquina del servidor.verify depth is 1 Using default temp DH parameters ACCEPT depth=2 C = US, O = Google Trust Services LLC, CN = GTS Root R1 verify return:1 depth=1 C = US, O = Google Trust Services LLC, CN = GTS CA 1D4 verify return:1 depth=0 CN = *.dialogflow.com verify return:1 -----BEGIN SSL SESSION PARAMETERS----- MII... -----END SSL SESSION PARAMETERS----- Client certificate -----BEGIN CERTIFICATE----- MII... -----END CERTIFICATE----- subject=CN = *.dialogflow.com issuer=C = US, O = Google Trust Services LLC, CN = GTS CA 1D4 Shared ciphers:TLS_AES_128_GCM_SHA256:... Signature Algorithms: ECDSA+SHA256:... Shared Signature Algorithms: ECDSA+SHA256:... Peer signing digest: SHA256 Peer signature type: RSA-PSS Supported Elliptic Groups: 0xEAEA:... Shared Elliptic groups: X25519:... CIPHER is TLS_AES_128_GCM_SHA256 Secure Renegotiation IS NOT supported POST /shirts-agent-webhook HTTP/1.1 authorization: Bearer ey... content-type: application/json Host: www.example.com Content-Length: 1595 Connection: keep-alive Accept: */* User-Agent: Google-Dialogflow Accept-Encoding: gzip, deflate, br { "detectIntentResponseId": "a7951ce2-2f00-4af5-a508-4c2cb45698b0", "intentInfo": { "lastMatchedIntent": "projects/PROJECT_ID/locations/REGION/agents/AGENT_ID/intents/0adebb70-a727-4687-b8bc-fbbc2ac0b665", "parameters": { "color": { "originalValue": "red", "resolvedValue": "red" }, "size": { "originalValue": "large", "resolvedValue": "large" } }, "displayName": "order.new", "confidence": 0.9978873 }, "pageInfo": { "currentPage": "projects/PROJECT_ID/locations/REGION/agents/AGENT_ID/flows/00000000-0000-0000-0000-000000000000/pages/06e6fc4d-c2f2-4830-ab57-7a318f20fd90", "displayName": "Order Confirmation" }, "sessionInfo": { "session": "projects/PROJECT_ID/locations/REGION/agents/AGENT_ID/sessions/session-test-001", "parameters": { "color": "red", "size": "large" } }, "fulfillmentInfo": { "tag": "confirm" }, "messages": [{ "text": { "text": ["Ok, let\u0027s start a new order."], "redactedText": ["Ok, let\u0027s start a new order."] }, "responseType": "ENTRY_PROMPT", "source": "VIRTUAL_AGENT" }, { "text": { "text": ["You have selected a large, red shirt."], "redactedText": ["You have selected a large, red shirt."] }, "responseType": "HANDLER_PROMPT", "source": "VIRTUAL_AGENT" }], "text": "I want to buy a large red shirt", "languageCode": "en" }ERROR shutting down SSL CONNECTION CLOSED
Certificado de cliente personalizado
Los certificados de cliente personalizados se pueden configurar a nivel del agente para que los usen todos los webhooks. En el momento de la invocación del webhook, se presentarán los certificados configurados durante el protocolo de enlace.
La clave privada y la frase de contraseña se configuran como un recurso de Secret Manager. Se le deberán otorgar al agente de servicio de Dialogflow los permisos de usuario con acceso a secretos de Secret Manager para el secreto.
Una autoridad certificadora debe firmar los certificados del cliente para que el protocolo de enlace se realice correctamente.
Práctica recomendada
Para asegurarte de que las solicitudes de webhook se inicien desde tus propios agentes de Dialogflow, debes verificar el token de identidad del servicio de Bearer en el encabezado de autorización de la solicitud. Como alternativa, puedes verificar un parámetro de sesión que proporcionó anteriormente un servidor de autenticación de tu parte.
Errores
Si la validación del certificado de cliente falla (por ejemplo, el servidor de webhook no confía en el certificado de cliente), el protocolo de enlace TLS falla y la sesión finaliza.
Mensajes de error comunes:
Mensaje de error | Explicación |
---|---|
No se pudo verificar el certificado de cliente: x509: certificado firmado por autoridad desconocida | Dialogflow envía su certificado de cliente al webhook externo, pero el webhook externo no puede verificarlo. Esto puede deberse a que el webhook externo no instaló la cadena de CA de forma correcta. Todas las CA raíz de Google son de confianza. |