¿Cómo configurar certificados?

La configuración completa de certificados se realiza en tres pantallas del API Manager:

  • En Virtual Hosts > Certificates usted registra el certificado.

  • En Virtual Hosts > Inbound Addresses usted define la dirección a la que responderá el certificado.

  • En Virtual Hosts > Environments usted crea los contextos que complementan las direcciones definidas en la pantalla Inbound Addresses.

Con la combinación inbound address + environment, definimos el camino que se utilizará para acceder a las APIs.

  • Certificado: *sensedia.com

  • Inbound Address: demo.sensedia.com

  • Environment: demo.sensedia.com/dev

En este escenario, todos los entornos creados a partir del inbound address demo.sensedia.com utilizarán el certificado *sensedia.com.

mTLS

El intercambio mutuo de certificados tiene dos lados, cada uno con sus respectivas credenciales.

Estas son las credenciales en la configuración de mTLS:

  • Socio (quien realiza la llamada):

    • certificado_socio.pem: el certificado en sí.

    • privateKey_socio.pem: clave privada.

    • ca_socio.pem: Trusted CA — certificado de la autoridad certificadora que generó el certificado del socio.

  • Host (quien recibe la llamada):

    • certificado_host.pem: el certificado en sí.

    • privateKey_host.pem: clave privada.

    • chain_host.pem: cadena de certificados generada al crear el certificado utilizado en el inbound address.

Con estos datos, registre el certificado:

  1. Acceda a Virtual Hosts > Certificates en el API Manager;

  2. Haga clic en el botón +;

  3. Para registrar un certificado usado por un inbound address, marque la opción Inbound Certificate;

  4. Rellene los campos:

    • Name: nombre identificador del certificado.

    • Certificate Body: cuerpo del certificado del host (certificado_host.pem).

    • Private Key: clave privada del host (privateKey_host.pem)

    • Certificate Chain: cadena de certificados del host (chain_host.pem)

    • Trusted CA: Trusted CA del socio (ca_socio.pem).

Después de ingresar el certificado en el API Manager, puede asignarlo a la dirección a la que responderá:

  1. Acceda a la pantalla Inbound Addresses;

  2. En el campo Protocol Type, elija HTTPS o HTTP|HTTPS;

  3. En Security, elija mTLS;

  4. En TLS Version, defina el rango de versiones TLS soportadas;

  5. Por último, en Certificates, seleccione el certificado registrado.

Con estas configuraciones, todo entorno creado con este inbound address como base recibirá llamadas con conexión mTLS.

Una posible llamada realizada por el socio es:

curl -X GET --cacert ca_socio.pem --cert certificado_socio.pem --key privateKey_socio.pem https://inbound-url/basepath -v

Con las configuraciones realizadas, el comportamiento esperado es que ambos lados validen los certificados que recibieron:

  • el socio valida en su trusted_store el certificado registrado en el inbound address;

  • el host valida el certificado que recibió del socio, ya que la Trusted CA del socio fue registrada en el Manager.
Thanks for your feedback!
EDIT

Share your suggestions with us!
Click here and then [+ Submit idea]