Pular para o conteúdo principal
CENTRAL DE AJUDA

Configurando mTLS no API Platform

Nelson Angelo Lopes Sanches
  • Atualizado


No API Manager, a configuração de certificados é realizada através da sessão de Certificates e de  Inbound Address 

- Certicates:

É o local onde o certificado propriamente dito é cadastrado na plataforma

- Inbound Address:

É o local onde é cadastrado o endereço ao qual o certificado cadastrado responde

Nessa sessão é possível configurar qual dos certificados cadastrados será utilizado

- Environments:

Essa sessão servirá para configurar o contexto a partir do Inbound Address cadastrado, e que posteriormente será utilizado nas API's.

- Por exemplo:

Certificado - *sensedia.com

Inbound Address - api-suporte.sensedia.com

Environment - api-suporte.sensedia.com/dev

 

Logo, todos os environments criados a partir da url "api-suporte.sensedia.com" utilizarão o certificado "*.sensedia.com"

 A troca mútua de certificados possui dois lados, cada um com suas respectivas credenciais.

-- Abaixo seguem as credenciais que serão utilizadas na configuração do mTLS:

- Parceiro:  Quem realiza a chamada

Credenciais:

certificado_parceiro.pem - (certificado propriamente dito)

privateKey_parceiro.pem  - (chave privada)

ca_parceiro.pem -  (Trusted CA -  certificado da Autoridade Certificadora que gerou o certificado do parceiro)

 

- Cliente:  Quem recebe a chamada

Credenciais:

certificado_cliente.pem - (certificado propriamente dito - que responde ao endereço configurado no "Inbound Address")

privateKey_cliente.pem  - (chave privada)

chain_cliente.pem - (cadeia de certificados geradas na criação do certificado do cliente )

 

Com esses dados em mãos, será feito, inicialmente, o cadastro das credenciais no API Manager, através da sessão de Certificates.

 

-- Abaixo seguem os campos que devem ser preenchidos com os respectivos dados:

- Nome: Nome que fará referencia ao certificado

- Certificate Body: Corpo do certificado do cliente (certificado_cliente.pem)

- Private Key: Chave privada do cliente (privateKey_cliente.pem)

- Chain Certificate: Cadeia de certificado do cliente (chain_cliente.pem)

- Trusted CA: Trusted CA do parceiro (ca_parceiro.pem)

 

Feita a inserção do certificado no API Manager, este será atribuído ao "Inbound Address" que fora configurado utilizando o endereço ao qual o certificado responde.

Ainda na sessão do Inbound Address deverá ser configurado as versões de TLS utilizas (1.2 - 1.3) e marcada a opção mTLS.

A partir dessa configuração, todo environment criado com este Inbound Address passará a receber chamadas utilizando mTLS.

Por fim, um possível exemplo de chamada realizada pelo parceiro seria:

curl -X GET https://environment/basePath \
--cacert ca_parceiro.pem \
--cert certificado_parceiro.pem \
--key privateKey_parceiro.pem \
-v \

Com as configurações acima devidamente realizadas o comportamento esperado é de que ambos os lados realizem as validações dos certificados que receberam.

Logo:

- O parceiro valida o certificado que é recebido do cliente, em sua trusted_store

- O cliente valida o certificado que recebeu do parceiro, por conta de ter sido cadastrado o Trusted CA do parceiro no Manager.

 

 

Artigos relacionados

Comentários

0 comentário

Por favor, entre para comentar.

Powered by Zendesk