> For the complete documentation index, see [llms.txt](https://docs.payments.thalescloud.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.payments.thalescloud.io/classic-tokenization/es/comenzar/conceptos-basicos-de-la-api/conectividad.md).

# Conectividad

Todas las APIs de Thales requieren **TLS mutuo (mTLS)** autenticación. Esto se aplica tanto a las APIs de entrada como a las de salida.

La configuración de TLS es el primer paso de integración. Complételo antes de configurar cualquier servicio de Thales. El Servicio de Tokenización utiliza un único endpoint por entorno para todas sus APIs.

Como consumidor de la API, usted es un **cliente**. Tiene un **identificador de cliente** en el Servicio de Tokenización. La conectividad TLS se configura por identificador de cliente.

La conectividad TLS debe establecerse explícitamente para cada entorno aislado:

* Preproducción
* Producción

<figure><img src="/files/4409c993c5ac6cff137daa285be5d4a080945832" alt=""><figcaption><p>Resumen de la conectividad mTLS entre el backend del emisor y Thales TSH.</p></figcaption></figure>

### Flujo de entrada (backend del emisor → Thales TSH) <a href="#incoming-flow-from-your-host-to-thales" id="incoming-flow-from-your-host-to-thales"></a>

Una vez establecida, la conexión TLS se utiliza para todas las APIs. El endpoint depende del servicio de Thales al que esté llamando.

Su certificado de cliente de cliente (autofirmado) debe ser respaldado (certificate pinning) en el backend de Thales. Este respaldo se realiza a través del portal de Thales.

Requisitos generales:

1. Autenticación mutua
2. TLS 1.2 (o superior)
3. A través de Internet (sin lista blanca de IP)
4. CA del servidor de Thales: Digicert SHA2 High Assurance server CA
5. El certificado de cliente del cliente debe ser un certificado autofirmado con el siguiente requisito (ver abajo)

Requisitos del certificado autofirmado:

1. Fecha de caducidad máxima de 2 años
2. Algoritmo: curva elíptica con tamaño de clave de 256 bits o tamaño de clave de 384 bits o algoritmo RSA de 2048 bits sha256. Se prefiere la curva elíptica sobre RSA. Las curvas compatibles son prime256v1 y secp384r1.
3. Nombre común: el formato y el valor son obligatorios y verificados por Thales; el valor que debe usar (por entorno) se le proporcionará en el Portal D1.

{% hint style="warning" %}
El **backend del emisor** debe resolver siempre el nombre de dominio de TSH y sus subdominios usando DNS.

Thales TSH no admite direcciones IP estáticas a largo plazo. No configure, codifique de forma fija ni almacene en caché las direcciones IP de TSH durante más tiempo que el tiempo de vida (TTL) de DNS.
{% endhint %}

### Flujo de salida (Thales TSH → backend del emisor) <a href="#outgoing-flow-from-thales-tsh-to-your-host" id="outgoing-flow-from-thales-tsh-to-your-host"></a>

Requisitos generales:

1. Autenticación mutua.
2. TLS 1.2 o posterior.
3. Su servidor debe escuchar en el puerto 443 (preferido) o 8443.
4. A través de Internet pública (sin lista blanca de IP)
5. Debe confiar en la CA de cliente de Thales para autenticar nuestro certificado de cliente. Nuestra CA de cliente está disponible para descargar desde nuestro Portal D1 para Emisor.
6. Thales D1 debe confiar en el certificado de su servidor; para ello debe proporcionar la cadena de CA de su servidor para que sea respaldada a través de nuestro Portal D1 para Emisor.

Confíe solo en la CA de cliente de Thales y no ancle el certificado de cliente. Los certificados de cliente de Thales están firmados por la CA de cliente de Thales. Thales puede renovar su certificado de cliente en cualquier momento antes de su vencimiento, sin previo aviso.

El intercambio de certificados se gestiona a través del portal TSH de la siguiente manera:<br>

<figure><img src="/files/485a74518e51602a6d49b1dab111910f4c9a19f7" alt=""><figcaption><p>Flujo de intercambio de certificados en el portal TSH.</p></figcaption></figure>

Utilice las credenciales proporcionadas por el equipo de entrega de Thales para acceder al portal: [portal TSH](https://portal.dbp.thalescloud.io/app-tsh-onboarding/index.html#/)

Esta tabla resume los activos intercambiados a través del portal para la configuración de TLS:

| ACTIVO                                    | DESCRIPCIÓN                                                                                                                                                                         |
| ----------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| TSH\_TLS\_SERVER\_CERTIFICATE\_CHAIN      | <p>Thales TSH <em>servidor</em> cadena de certificados.<br>Confíe en ella para establecer una conexión TLS desde el backend del emisor a Thales TSH.</p>                            |
| TSH\_TLS\_CLIENT\_CERTIFICATE             | <p>Thales TSH <em>cliente</em> certificado.<br>Confíe en él para aceptar conexiones TLS desde Thales TSH al backend del emisor.</p>                                                 |
| TSH\_INBOUND\_HOST                        | <p>Nombre de host de Thales TSH al que llamar.<br>Úselo con la ruta base de la API.</p>                                                                                             |
| CUSTOMER\_TLS\_SERVER\_CERTIFICATE\_CHAIN | <p>Su <em>servidor</em> cadena de certificados.<br>Thales TSH la utiliza para confiar en el certificado de su servidor y establecer una conexión TLS con el backend del emisor.</p> |
| ISSUER\_HOST                              | <p>Nombre de host del backend del emisor.<br>Thales TSH lo utiliza con la ruta base de la API para llamar al backend del emisor.</p>                                                |

<br>


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.payments.thalescloud.io/classic-tokenization/es/comenzar/conceptos-basicos-de-la-api/conectividad.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.