Conectividad
Todas las APIs de Thales requieren TLS mutuo (mTLS) autenticación. Esto se aplica tanto a las APIs de entrada como a las de salida.
La configuración de TLS es el primer paso de integración. Complételo antes de configurar cualquier servicio de Thales. El Servicio de Tokenización utiliza un único endpoint por entorno para todas sus APIs.
Como consumidor de la API, usted es un cliente. Tiene un identificador de cliente en el Servicio de Tokenización. La conectividad TLS se configura por identificador de cliente.
La conectividad TLS debe establecerse explícitamente para cada entorno aislado:
Preproducción
Producción
Flujo de entrada (backend del emisor → Thales TSH)
Una vez establecida, la conexión TLS se utiliza para todas las APIs. El endpoint depende del servicio de Thales al que esté llamando.
Su certificado de cliente de cliente (autofirmado) debe ser respaldado (certificate pinning) en el backend de Thales. Este respaldo se realiza a través del portal de Thales.
Requisitos generales:
Autenticación mutua
TLS 1.2 (o superior)
A través de Internet (sin lista blanca de IP)
CA del servidor de Thales: Digicert SHA2 High Assurance server CA
El certificado de cliente del cliente debe ser un certificado autofirmado con el siguiente requisito (ver abajo)
Requisitos del certificado autofirmado:
Fecha de caducidad máxima de 2 años
Algoritmo: curva elíptica con tamaño de clave de 256 bits o tamaño de clave de 384 bits o algoritmo RSA de 2048 bits sha256. Se prefiere la curva elíptica sobre RSA. Las curvas compatibles son prime256v1 y secp384r1.
Nombre común: el formato y el valor son obligatorios y verificados por Thales; el valor que debe usar (por entorno) se le proporcionará en el Portal D1.
El backend del emisor debe resolver siempre el nombre de dominio de TSH y sus subdominios usando DNS.
Thales TSH no admite direcciones IP estáticas a largo plazo. No configure, codifique de forma fija ni almacene en caché las direcciones IP de TSH durante más tiempo que el tiempo de vida (TTL) de DNS.
Flujo de salida (Thales TSH → backend del emisor)
Requisitos generales:
Autenticación mutua.
TLS 1.2 o posterior.
Su servidor debe escuchar en el puerto 443 (preferido) o 8443.
A través de Internet pública (sin lista blanca de IP)
Debe confiar en la CA de cliente de Thales para autenticar nuestro certificado de cliente. Nuestra CA de cliente está disponible para descargar desde nuestro Portal D1 para Emisor.
Thales D1 debe confiar en el certificado de su servidor; para ello debe proporcionar la cadena de CA de su servidor para que sea respaldada a través de nuestro Portal D1 para Emisor.
Confíe solo en la CA de cliente de Thales y no ancle el certificado de cliente. Los certificados de cliente de Thales están firmados por la CA de cliente de Thales. Thales puede renovar su certificado de cliente en cualquier momento antes de su vencimiento, sin previo aviso.
El intercambio de certificados se gestiona a través del portal TSH de la siguiente manera:
Utilice las credenciales proporcionadas por el equipo de entrega de Thales para acceder al portal: portal TSH
Esta tabla resume los activos intercambiados a través del portal para la configuración de TLS:
TSH_TLS_SERVER_CERTIFICATE_CHAIN
Thales TSH servidor cadena de certificados. Confíe en ella para establecer una conexión TLS desde el backend del emisor a Thales TSH.
TSH_TLS_CLIENT_CERTIFICATE
Thales TSH cliente certificado. Confíe en él para aceptar conexiones TLS desde Thales TSH al backend del emisor.
TSH_INBOUND_HOST
Nombre de host de Thales TSH al que llamar. Úselo con la ruta base de la API.
CUSTOMER_TLS_SERVER_CERTIFICATE_CHAIN
Su servidor cadena de certificados. Thales TSH la utiliza para confiar en el certificado de su servidor y establecer una conexión TLS con el backend del emisor.
ISSUER_HOST
Nombre de host del backend del emisor. Thales TSH lo utiliza con la ruta base de la API para llamar al backend del emisor.
Última actualización
¿Te fue útil?