No API Manager, a configuração de certificados é realizada através da sessão de Certificates e de Inbound Address
- Certicates:
É o local onde o certificado propriamente dito é cadastrado na plataforma
- Inbound Address:
É o local onde é cadastrado o endereço ao qual o certificado cadastrado responde
Nessa sessão é possível configurar qual dos certificados cadastrados será utilizado
- Environments:
Essa sessão servirá para configurar o contexto a partir do Inbound Address cadastrado, e que posteriormente será utilizado nas API's.
- Por exemplo:
Certificado - *sensedia.com
Inbound Address - api-suporte.sensedia.com
Environment - api-suporte.sensedia.com/dev
Logo, todos os environments criados a partir da url "api-suporte.sensedia.com" utilizarão o certificado "*.sensedia.com"
A troca mútua de certificados possui dois lados, cada um com suas respectivas credenciais.
-- Abaixo seguem as credenciais que serão utilizadas na configuração do mTLS:
- Parceiro: Quem realiza a chamada
Credenciais:
certificado_parceiro.pem - (certificado propriamente dito)
privateKey_parceiro.pem - (chave privada)
ca_parceiro.pem - (Trusted CA - certificado da Autoridade Certificadora que gerou o certificado do parceiro)
- Cliente: Quem recebe a chamada
Credenciais:
certificado_cliente.pem - (certificado propriamente dito - que responde ao endereço configurado no "Inbound Address")
privateKey_cliente.pem - (chave privada)
chain_cliente.pem - (cadeia de certificados geradas na criação do certificado do cliente )
Com esses dados em mãos, será feito, inicialmente, o cadastro das credenciais no API Manager, através da sessão de Certificates.
-- Abaixo seguem os campos que devem ser preenchidos com os respectivos dados:
- Nome: Nome que fará referencia ao certificado
- Certificate Body: Corpo do certificado do cliente (certificado_cliente.pem)
- Private Key: Chave privada do cliente (privateKey_cliente.pem)
- Chain Certificate: Cadeia de certificado do cliente (chain_cliente.pem)
- Trusted CA: Trusted CA do parceiro (ca_parceiro.pem)
Feita a inserção do certificado no API Manager, este será atribuído ao "Inbound Address" que fora configurado utilizando o endereço ao qual o certificado responde.
Ainda na sessão do Inbound Address deverá ser configurado as versões de TLS utilizas (1.2 - 1.3) e marcada a opção mTLS.
A partir dessa configuração, todo environment criado com este Inbound Address passará a receber chamadas utilizando mTLS.
Por fim, um possível exemplo de chamada realizada pelo parceiro seria:
curl -X GET https://environment/basePath \
--cacert ca_parceiro.pem \
--cert certificado_parceiro.pem \
--key privateKey_parceiro.pem \
-v \
Com as configurações acima devidamente realizadas o comportamento esperado é de que ambos os lados realizem as validações dos certificados que receberam.
Logo:
- O parceiro valida o certificado que é recebido do cliente, em sua trusted_store
- O cliente valida o certificado que recebeu do parceiro, por conta de ter sido cadastrado o Trusted CA do parceiro no Manager.
Comentários
0 comentário
Por favor, entre para comentar.