1. Generación del par de llaves y CSR

Genere una llave privada RSA:

openssl genrsa -out entity_private.key 2048

Cree un Certificate Signing Request (CSR) con la llave privada:

openssl req -new -key entity_private.key -out entity.csr

Durante este proceso, se abrirá un menú interactivo. Complete la información solicitada de la siguiente manera:

Country Name (2 letter code) [XX]: # Código de país (ej. CO para Colombia)
State or Province Name []: # Estado o provincia
Locality Name []: # Ciudad
Organization Name []: # Nombre de su organización
Organizational Unit Name []: # Unidad o departamento
Common Name []: # Nombre común, generalmente su dominio
Email Address []: # Email de contacto técnico

Please enter the following 'extra' attributes
A challenge password []: [Dejar en blanco]
An optional company name []: [Dejar en blanco]

Importante: El valor del "Common Name" debe ser un identificador único para su entidad. Puede ser el nombre de su API o el dominio desde donde se realizarán las solicitudes.

Pasos siguientes:

Almacene la llave privada de forma segura en su infraestructura (AWS Secrets Manager, HashiCorp Vault o similar).
Envíe el archivo CSR (entity.csr) a security@akua.la para su firma.
El equipo de Akua firmará su CSR con nuestra Autoridad Certificadora de Cloudflare y le enviará de vuelta un certificado firmado (entity_signed.pem).

2. Consumo de endpoints con mTLS

Para consumir los endpoints protegidos con mTLS de Akua, utilice los archivos .pem (certificado) y .key (llave privada) en sus solicitudes HTTP.

Ejemplo con curl:

curl --cert entity_signed.pem \
     --key entity_private.key \
     https://api.akua.la/mtls/ping

Respuesta esperada:

Pong

En caso de error:

En caso de usar un certificado no autorizado o incorrecto, recibirá un mensaje de error:

Forbidden - Missing or wrong certificate

3. Integración en su aplicación

Integre los certificados en su aplicación según el lenguaje de programación y framework que utilice. Asegúrese de:

Proteger adecuadamente la llave privada
Validar el certificado del servidor de Akua
Establecer un mecanismo para rotar los certificados cuando expiren

Notas importantes

Validez del certificado El certificado tendrá un periodo de validez de 2 años

Alertas de renovación Configure alertas para renovar el certificado antes de su vencimiento

Seguridad de la llave privada Nunca comparta su llave privada

Compromiso de seguridad Notifique inmediatamente al equipo de Akua si sospecha que la llave privada ha sido comprometida

Soporte: Para cualquier duda adicional sobre la implementación, contacte al equipo técnico de Akua.

Certificados y Llaves de Prueba

entity_signed.pem

entity_private.key