Skip to main content

Certificados

Visão Geral

Os certificados SSL/TLS são utilizados para estabelecer uma conexão segura na troca de informações entre clientes e servidores. No contexto do módulo de APIs do DHuO, eles podem ser utilizados em duas situações:

  • na comunicação entre o consumidor de API (cliente) e o API Gateway (servidor)
  • na comunicação entre o API Gateway (cliente) e o serviço de API (servidor)

No DHuO existem duas entidades relacionadas a certificados: certificado e certificado CA. A primeira representa certificados com sua chave privada correspondente. A segunda representa certificados de uma autoridade certificadora (CA), utilizado para atestar a autenticidade de um certificado.

O DHuO mantém a gestão dos certificados centralizada: uma vez cadastrados, eles podem ser distribuídos e implantados em um ou mais API Gateways.

Configuração

Os certificados e certificados CA são gerenciados no contexto da Organização. A partir da home, acesse o ícone de configurações da Organização menu > Certificados e escolha o tipo do certificado a ser gerenciado. Na página correspondente, eles podem ser cadastrados, editados, excluídos e implantados. Para saber mais sobre implantação de certificados, acesse a seção Implantação (Deploy).

Permissões

Apenas usuários com papel de administrador da organização (Org Admin) podem gerenciar certificados. Para saber mais, acesse a seção Papéis e permissões.

Parâmetros Certificados

Aqui estão os parâmetros para configuração de um certificado:

  • Nome: Obrigatório. Nome do certificado. Utilizado para fins de identificação e gerenciamento no DHuO.
Informação adicional

Os certificados são únicos por Organização. Não é possível ter mais de um certificado com o mesmo nome.

  • Tipo de Certificado: Obrigatório. Tipo do certificado a ser criado. Opções: Client, Server.
    • Client: indica que o certificado é um certificado client, utilizado pelos API Gateways para acessar um serviço de API que utiliza TLS. Ou seja, é utilizado na comunicação entre o Gateway e o serviço de API. Para saber mais sobre a utilização de certificados client, acesse a seção Endpoints e Services do API Gateway.
    • Server: indica que o certificado é um certificado server-side, utilizado pelos API Gateways ao receber requisições dos consumidores, para lidar com a terminação SSL/TLS de requisições criptografadas, verificando-as. Ou seja, é utilizado na comunicação entre o consumidor de API e o Gateway.
Atenção!

Não é possível alterar o tipo do certificado após a criação do certificado. Caso seja necessário alterá-lo, é preciso excluir o certificado e criar um novo com o tipo desejado.

  • Certificado: Obrigatório. Certificado público (em formato PEM). Se forem necessários certificados intermediários além do certificado principal, eles deverão ser concatenados em uma cadeia conforme a seguinte ordem: certificado principal na parte superior, seguido por quaisquer intermediários.
  • Chave: Obrigatório. Chave privada (em formato PEM) correspondente ao certificado.
  • SNIs: Opcional. Hostnames associados ao par certificado/chave para serem utilizados como SNI (Server Name Indication). Quando o API Gateway recebe uma requisição, durante o handshake, ele obtém o SNI indicado pelo consumidor da API para identificar o certificado para utilizar na validação da requisição, no processo de TLS.

Caso o certificado seja do tipo Client, e possível configurar os seguintes parâmetros opcionais:

  • Certificados de CA: Certificados de CA vinculados ao certificado client. Utilizados para verificar o certificado no processo de TLS entre o API Gateway e o servidor do serviço de API.
  • Profundidade: Caso o certificado client possua certificados intermediários além do certificado principal, define a profundidade na cadeia do certificado a ser utilizada durante a validação dele.
Atenção!

Não é possível excluir um certificado caso ele esteja em uso. Exemplos:

  • Certificado implantado em algum API Gateway
  • APIs com configuração de Endpoint de gateway utilizando o certificado

É necessário remover todas as entidades relacionadas para excluir um certificado.

Parâmetros Certificados de CA

Aqui estão os parâmetros para configuração de um certificado CA:

  • Nome: Obrigatório. Nome do certificado CA. Utilizado para fins de identificação e gerenciamento no DHuO.
Informação adicional

Os certificados CA são únicos por Organização. Não é possível ter mais de um certificado CA com o mesmo nome.

  • Certificado: Obrigatório. Certificado público (em formato PEM).
Atenção!

Não é possível excluir um certificado CA caso ele esteja em uso. Exemplos:

  • Certificado CA implantado em algum API Gateway
  • O Certificado CA estar associado a algum certificado

É necessário remover todas as entidades relacionadas para excluir um certificado CA.

Parâmetros

Após o cadastro ou atualização de um certificado ou certificado CA, os seguintes dados são extraídos dos certificados e disponibilizados para gerenciamento:

  • Data de emissão: Data em que o certificado foi emitido.
  • Data de expiração: Data de vencimento do certificado.
  • Emitido por: Dados do emissor do certificado.
  • Emitido para: Dados da entidade para a qual o certificado foi emitido, que geralmente é um hostname.