RDX Specification

Autenticação TLS/HTTPS padrão

Standard Transport Layer Security Protocol (Protocolo de segurança de camada de transporte padrão)

Suggest Edits

TLS padrão 1.2

Os clientes existentes que usam TLS são responsáveis ​​por notificar a equipe do VCAS pelo menos 60 dias antes da data de expiração da certificação. A geração de chaves para certificados renovados deve ser feita pelo cliente.

  1. O parceiro precisará listar os endereços IP do VCAS. Testes serão executados em cada data center para garantir a conectividade.

  2. O parceiro precisará primeiro criar o endpoint/DNS que será usado para receber chamadas de API do VCAS conforme descrito acima. Observe que o VCAS não pode aceitar endereços IP. É necessário um URL de caminho completo com um registro DNS disponível globalmente

  3. Depois de criado, o parceiro precisará anexar um certificado público a esse endpoint e fornecer esse certificado ao gerente de implementação do VCAS. Nota: O certificado público precisa ser assinado por uma autoridade de certificação confiável. Isso inclui certificados assinados por CAs terceirizadas globais confiáveis ​​(DigiCert, Entrust, Thawte, etc.) ou pela própria Autoridade de Certificação da Cardinal. A Cardinal não aceita certificados autoassinados ou certificados assinados por uma CA privada (interna).

  4. Uma vez concluídas as etapas anteriores, serão feitas conexões TLS entre o cliente (VCAS) e o servidor (rede parceira) para troca de dados da aplicação. Uma conversa TLS padrão é feita da seguinte maneira:

    • Durante a saudação inicial, o cliente (VCAS) e o servidor (rede parceira) trocarão dados para confirmar se possuem conjuntos de criptografia correspondentes e extensões TLS necessárias.
    • O servidor enviará seu certificado de servidor e chave pública. Isso conclui a fase de negociação do lado do servidor.
    • O cliente (balanceador de carga do Cardinal) verificará se o certificado do servidor foi assinado por um certificado CA intermediário/raiz em seu armazenamento confiável. Se não, a conexão será encerrada. Se sim, ele enviará sua chave pública ao servidor. Isso conclui a fase de negociação do lado do cliente.
    • O cliente envia uma mensagem criptografada “Concluído” que o servidor irá descriptografar. Se tiver sucesso, passará para a próxima etapa. Caso contrário, a conexão será encerrada.
    • O servidor envia uma mensagem criptografada “Concluído” que o cliente irá descriptografar. Se for bem-sucedido, o handshake MTLS será concluído e eles começarão a transmitir dados do aplicação de um lado para outro.

Updated 11 months ago