RDX Specification

Autenticación estándar TLS/HTTPS

Protocolo de seguridad de la capa de transporte estándar.

Suggest Edits

Estándar TLS 1.2

Los clientes existentes que utilizan TLS son responsables de notificar al equipo de VCAS al menos 60 días antes de la fecha de vencimiento de la certificación. La generación de claves para los certificados renovados debe ser manejada por el cliente.

  1. El socio necesitará incluir en la lista de confianza las direcciones IP de VCAS. Se realizarán pruebas desde cada centro de datos para asegurar la conectividad.

  2. El socio necesitará primero crear el punto final/DNS que se utilizará para recibir las solicitudes de API de VCAS como se ha descrito anteriormente. Por favor, tenga en cuenta que VCAS no puede aceptar direcciones IP. Se requiere una URL de ruta completa con un registro DNS disponible a nivel mundial.

  3. Una vez creado, el socio necesitará adjuntar un certificado de cara al público a este punto final y proporcionar este certificado al gerente de implementación de VCAS. Nota: El certificado público necesita ser firmado por una Autoridad de Certificación de confianza. Estos incluyen certificados firmados por CAs de terceros globales de confianza (DigiCert, Entrust, Thawte, etc.) o la propia Autoridad de Certificación de Cardinal. Cardinal no acepta certificados autofirmados, ni certificados firmados por una CA privada (interna).

  4. Una vez completados los pasos anteriores, se establecerán conexiones TLS entre el cliente (VCAS) y el servidor (red del socio) para intercambiar datos de la aplicación. Una conversación TLS estándar se realiza de la siguiente manera:

      • Durante el saludo inicial, el cliente (VCAS) y el servidor (red del socio) intercambiarán datos para confirmar que tienen conjuntos de cifrado coincidentes y las extensiones TLS requeridas.
      • El servidor enviará su certificado de servidor y clave pública. Esto completa la fase de negociación del lado del servidor.
      • El cliente (el balanceador de carga de Cardinal) comprobará que el certificado del servidor fue firmado por un certificado CA intermedio/raíz en su almacén de confianza. Si no, la conexión se terminará. Si sí, enviará su clave pública al servidor. Esto completa la fase de negociación del lado del cliente.
      • El cliente envía un mensaje "Terminado" cifrado que el servidor descifrará. Si tiene éxito, pasará al siguiente paso. Si no, la conexión se terminará.
      • El servidor envía un mensaje "Terminado" cifrado que el cliente descifrará. Si tiene éxito, el apretón de manos MTLS se completa, y comienzan a pasar datos de la aplicación de un lado a otro.

Updated 5 months ago