Crear un perfil de cliente de TLS

Editar en línea

Crea un perfil de cliente de « TLS » para garantizar la seguridad de las comunicaciones dentro de tu API Connect entorno de implementación y con los servicios externos.

Antes de empezar

Para configurar los perfiles de TLS, se requiere uno de los siguientes roles:

  • Administrador de la organización
  • Propietario (Owner)
  • Rol personalizado con elSettings: Managepermisos

Acerca de esta tarea

API Connect ofrece perfiles de cliente de « TLS » preconfigurados que se crean durante la instalación y que pueden utilizarse con fines de prueba y demostración. Para implementaciones en entorno de producción, se recomienda crear nuevos perfiles de cliente con tus propios certificados de TLS.
Nota: Para obtener información sobre cómo generar certificados y claves de « TLS », consulte «Uso de OpenSSL para generar y dar formato a certificados ».
Importante: Con API Connect Enterprise as a Service, puede utilizar los perfiles de TLS configurados en la interfaz de usuario de API Manager para proteger el acceso a sus servicios de back-end, pero no puede utilizarlos para proteger el acceso en el front-end, como la conexión a las interfaces API Connect de usuario o la realización de llamadas a la API, ya que la configuración del front-end es común para todos los clientes multitenant.

Procedimiento

Para crear un perfil en TLS, sigue estos pasos:
  1. En el Administrador de API, haz clic en Recursos «Recursos ».
  2. Selecciona el material criptográfico.
  3. Haga clic en «Crear» en la tabla de perfiles de clientes de « TLS ».
  4. Especifique los campos para configurar el Perfil de cliente TLS:
    Campo Descripción
    Título Especifique un título para el perfil.
    Nombre El nombre se genera automáticamente a partir del título (sustituyendo los espacios y otros caracteres no seguros según URL ).

    Para consultar los comandos de la interfaz de línea de comandos (CLI) destinados a gestionar un perfil de cliente de TLS, consulte la documentación de referencia de la CLI del kit de herramientas.

    Importante: El nombre del perfil de cliente de « TLS », tal y como se guarda en « DataPower® Gateway », depende del tipo de pasarela y es el siguiente:
    • DataPower API Gateway:
      provider-org-name_catalog-name_tlsp-tls-profile-nameV1.0.0
    • DataPower Gateway (v5 compatible):
      provider-org-name-tls-profile-nameV1.0.0
    donde
    • «tls-profile-name» es el valor del campo de nombre generado automáticamente para el perfil de cliente TLS en API Connect.
    • «provider-org-name» es el nombre de la organización proveedora que contiene el perfil de cliente « TLS ».
    • «catalog-name» es el nombre del catálogo, dentro de esa organización proveedora, que contiene el perfil de cliente « TLS ».
    Versión Asigne un número de versión al perfil. La utilización de números de versión permite crear varios perfiles de servidor con el mismo nombre y diferentes configuraciones, por ejemplo, MyProfile 1.0 y MyProfile 1.1.
    Resumen Especifique una descripción del perfil.
    Protocolos Seleccione una o varias versiones de protocolo TLS soportadas. Los valores predeterminados son 1.2 y 1.3
    Conexión de servidor Especifique si desea dar soporte a credenciales débiles o inseguras.
    • Permitir conexiones a servidores no seguros: las conexiones a servidores no seguros pueden ser aquellas que utilizan certificados autofirmados, caducados o dañados, o que proceden de una fuente desconocida o no fiable. Marque este recuadro para permitir que la conexión se lleve a cabo con una conexión no segura. El valor predeterminado es no permitir conexiones de servidor inseguras.
    • Soporte de SNI (Indicación de nombre de servidor): marque este recuadro para habilitar SNI. SNI permite admitir varios certificados que se presentan en la misma dirección IP utilizando diferentes nombres de host. El perfil de cliente envía el nombre de un dominio virtual como parte de la negociación de TLS. El valor predeterminado es habilitar SNI.
    Almacén de claves

    El almacén de claves es un repositorio que contiene pares de claves públicas y privadas. Selecciona el almacén de claves donde guardas los certificados del perfil.

    Importante: API Connect verifica los certificados al subirlos, pero no supervisa continuamente su fecha de caducidad. Usted es responsable de supervisar y actualizar los certificados cargados antes de que caduquen.
    Almacén de confianza

    El almacén de confianza es un repositorio que contiene claves públicas verificadas. Los almacenes de confianza contienen la lista de certificados en los que confía tu perfil de cliente de TLS.

    Importante: API Connect verifica los certificados al subirlos, pero no supervisa continuamente su fecha de caducidad. Usted es responsable de supervisar y actualizar los certificados cargados antes de que caduquen.
    Cifrados Los conjuntos de cifrado son algoritmos de cifrado que se utilizan para proteger la comunicación e TLS. Seleccione los cifrados a los que da soporte el perfil.
    Nota: Los cifrados de TLS y 1.3 están claramente indicados. Si selecciona una versión de TLS 1.3 como uno de los protocolos del perfil, pero no selecciona ningún cifrado de TLS 1.3, todos los cifrados de TLS 1.3 se añaden a la lista de cifrados compatibles con el perfil. Si no seleccionas ninguna versión de TLS 1.3, pero seleccionas uno o varios algoritmos de cifrado de TLS 1.3, dichos algoritmos no se añadirán a la lista de algoritmos compatibles con el perfil.
  5. Pulse Guardar.