接続性の概要
Thalesが公開するすべてのAPIは、接続において TLS相互認証が必要です。これはThalesからのインバウンドおよびアウトバウンドのAPIの両方に当てはまります。
TLS接続の設定はセットアップの最初のステップであり、Thalesサービスの構成を行う前に実施する必要があります。トークン化サービスはすべてのAPIに対して一意のエンドポイントを持ちます。つまり、TLS接続の設定はすべてのThalesサービスに対して一度だけ行われます。
APIの利用者として、あなたは「customer」または「actor」として知られており、そのために トークン化サービス内の顧客識別子 を持ちます。この識別子は重要です。なぜならTLS接続はそれぞれの トークン化サービス内の顧客識別子.
環境ごとに明示的に確立する必要があり、それぞれが分離されているからです:
プレプロダクション
プロダクション
あなたのホストからThales TSHへのインカミングフロー
TSH APIにアクセスするには、Thales CAによってあなたのTLSクライアント証明書に署名してもらう必要があります。そのために、署名のための証明書署名要求(CSR)をThales担当者に提出する必要があります。
一般的な要件:
アルゴリズム:RSA暗号(4096ビット)またはECDSA P-256鍵とSHA256ハッシュ。
コモンネーム(CN):形式と値はThalesによって強制およびチェックされます。値は以下の例のステップ2に記載されたパターンに従う必要があります。
CSR生成の例
対象とする各環境(プレプロダクションおよびプロダクション)について次の手順を繰り返してください。
CSRのために新しい鍵ペア(RSAまたはECDSA)を生成してください。
次のOpenSSLコマンドでRSA 4096鍵ペアを作成できます:
次のOpenSSLコマンドでECDSA P-256鍵ペアを作成できます:
ここで:
country はイシュアの国を意味します。
state はイシュアの州を意味します。
locality はイシュアの所在地(ローカリティ)を意味します。
Organization Name はイシュアイシュア組織名でなければなりません。
Organizational Unit はイシュアの組織単位でなければなりません。
CN はコモンネームを意味します。
tspId はThales担当者から提供されるIDです。
env はこの証明書が対象とする環境です。プレプロダクションの場合:
PPR、プロダクションの場合:PRDECDSAとRSAの違い はCN内の鍵の種類に依存します。
イシュアのバックエンドは常にTSHドメイン名とそのサブドメインを解決する必要があります。Thales TSHは長期の静的IPをサポートしていないため、Thalesの顧客はTSHのIPアドレスをDNSのTTLより長い期間ハードコードしたりキャッシュしたりしないでください。
Thales TSHからあなたのホストへのアウトゴーイングフロー
一般的な要件:
相互認証
TLS 1.2(以上)
あなたのサーバーはポート443(または8443。ただし443が推奨)で稼働している必要があります。
インターネット経由(IPホワイトリストは不要)
当社のクライアント証明書を認証するために、あなたはThales Client CAを信頼する必要があります。当社のClient CAはTSHポータル(イシュア向け)からダウンロード可能で、マーチャントに対しては手動で交換されます。必要に応じて、ThalesはTSPによって署名されるための新しい鍵ペアを生成できます。
Thales TSHはあなたのサーバー証明書を信頼する必要があり、そのためにあなたはTSHポータル(イシュア向け)を通じて、またはマーチャントとは手動で交換する形でサーバーのCAチェーンを提供して承認してもらう必要があります。
あなたは当社のClient CAのみを承認し、クライアント証明書を「ピン」してはなりません。当社のクライアント証明書は当社のClient CAによって署名されています。TSHは有効期限前であっても予告なくクライアント証明書を更新する場合があります。
最終更新
役に立ちましたか?