1 of 20
2 of 20
3 of 20
4 of 20
5 of 20
6 of 20
7 of 20
8 of 20
9 of 20
10 of 20
11 of 20
12 of 20
13 of 20
14 of 20
15 of 20
16 of 20
17 of 20
18 of 20
19 of 20
20 of 20

doc

Suporte para Mutual Transport Layer Security (mTLS)

Mutual Transport Layer Security (mTLS), também conhecido como Mutual Authentication, é um método de autenticação que valida o certificado digital de ambos os lados de uma requisição, tanto do lado do cliente como do lado do Edge (servidor).

Com o mTLS ativado, a Azion checa o certificado do navegador do usuário e o valida com o certificado Trusted Certificate (Trusted CA) da sua Edge Application no Edge.

mTLS é opcional para aplicações que utilizam protocolos TLS. No entanto, ele promete um handshake TLS/SSL mais seguro, além de ser um requisito do Open Banking.

Você pode precisar do mTLS se sua Edge Application oferece serviços financeiros e pagamentos.

  1. Pré-requisitos
  2. Certificado Digital com suporte para mTLS (Trusted CA)
  3. Como funciona o mTLS na Azion
  4. Documentação de suporte

1. Pré-requisitos

É necessário que sua Edge Application esteja operando com protocolo Hypertext Transfer Protocol Secure (HTTPS). O Real-Time Manager permite configurar mTLS em aplicações rodando apenas com HTTP (sem a camada de criptografia TLS). No entanto, mTLS exige uma conexão HTTPS para funcionar.

As opções de protocolo estão disponíveis na página de configuração da sua Edge Application no Real-Time Manager.

Nota: o mTLS só estará disponível caso o serviço esteja ativado. Para ativar, entre em contato com nossa Equipe de Vendas.

2. Certificado Digital com suporte para mTLS (Trusted CA)

Para configurar o mTLS em sua Edge Application, você precisa de um Digital Certificate com suporte para mTLS, gerado por uma Autoridade de certificação terceira. Na Azion, chamamos esse certificado de Trusted CA.

Selecione ou adicione um novo Domain e certifique-se de que a opção mTLS está ativada. Em seguida, selecione o Trusted CA adicionado anteriormente.

Os certificado gratuitos, gerados internamente pela Azion (Azion [SAN]), não têm suporte para mTLS.

Para usar o modo Enforce do mTLS, é necessário utilizar a extensão para protocolos TLS, Server Name Indication (SNI).

As conexões sem SNI são conectadas a uma configuração padrão que, no momento do handshake TLS, entrega o certificado Azion SAN.

Quando temos requisições sem SNI para um Domain com mTLS no modo Enforce, a conexão é interrompida antes que a rota da sua Edge Application seja resolvida.

Certifique-se que suas Edge Applications sempre usem SNI nas solicitações.

3. Como funciona o mTLS na Azion

A configuração padrão do mTLS bloqueia os acessos cuja identidade do usuário não puder ser verificada.

Se sua aplicação precisa de necessidades de acesso especiais, é necessário configurar uma verificação permissiva (Permissive mTLS). A verificação permissiva pode ser configurada na página Domains.

Você também pode alterar e especificar as header variables do seu mTLS para atender aos requisitos do Open Banking. Isso pode ser feito na página de configuração do Edge Application, dentro do RTM.

A lista de variáveis aceitas está disponível na página Rules Engine para Edge Application.

4. Documentação de suporte


Não encontrou o que procurava? Abra um ticket.