Contexto


Neste artigo, você encontrará o passo a passo para a geração dos certificados MTLS necessários para integrar com as APIs de Meios de Pagamento da Flagship. A geração correta dos certificados Root CA e client MTLS é fundamental para garantir segurança no tráfego de dados, continuidade de acesso e compatibilidade com o Gateway da Flagship.


Pré-requisitos


Antes de iniciar a geração dos certificados, certifique-se de que você:

  • Possui acesso a ferramentas de linha de comando como o OpenSSL;
  • Tem conhecimento sobre o ambiente onde os certificados serão utilizados (homologação ou produção);
  • Está autorizado a gerar e manter certificados e chaves privadas com segurança na sua organização;
  • Pode abrir chamados no portal de suporte da Flagship para envio de certificados.


1. Especificações Técnicas dos Certificados 


1.1 Certificado Root CA (enviar à Flagship)

  • Ferramenta: OpenSSL (ou compatível)
  • Formato: X.509
  • Tipo: Autoassinado
  • Algoritmo: SHA-256, RSA-2048 ou ECDSA-256 (ou superior)
  • Validade: Máximo de 10 anos
  • Common Name (CN): rootCA-nome_cliente-hml ou rootCA-nome_cliente-prd


⚠️ Este certificado deve ser enviado à Flagship via chamado.


1.2 Certificado Client mTLS (não enviar)

  • Ferramenta: OpenSSL (ou compatível)
  • Formato: X.509
  • Tipo: Assinado pelo Root CA
  • Algoritmo: SHA-256, RSA-2048 ou ECDSA-256 (ou superior)
  • Validade: Máximo de 1 ano
  • Common Name (CN): Mesmo nome do client_id utilizado na autenticação
  • Assinatura: Pelo Root CA criado anteriormente (-CA rootCA.pem)


2. Geração do Certificado Root CA 


▶️ Passos


Gerar chave privada:

openssl genrsa -out rootCA.key 2048



Gerar certificado autoassinado:

openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 3650 -out rootCA.pem



Envio à Flagship:

Envie somente o certificado (rootCA.pem ou rootCA.crt) via chamado no portal de suporte.

⚠️ Observações Importantes

- Enviar para Flagship somente o arquivo do certificado RootCa.pem ou RootCa.crt;
- A chave privada e o certificado RootCA devem ser armazenados de forma segura pelo cliente, evitando acessos não autorizados ou perda;
- Este mesmo RootCA e chave serão utilizados na renovação e/ou recriação do certificado client, sendo desta forma imprescindível que o cliente tenha controle sobre o armazenamento seguro dos mesmos.


3. Geração do Certificado Client mTLS


▶️ Passos


Gerar nova chave privada:

openssl genrsa -out client.key 2048



Gerar CSR (Certificate Signing Request):

openssl req -new -key client.key -out client.csr



Assinar o CSR com o Root CA:

openssl x509 -req -in client.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out client.pem -days 365 -sha256


⚠️ Observações Importantes

- O arquivo do certificado client fica sob custódia do cliente e deverá ser usado em conjunto com sua chave privada no processo sistêmico de envio das requests para as APIs da Flagship;
- Não envie este certificado para a Flagship – ele deve ser utilizado localmente nas chamadas MTLS com a API;
- Manter em armazenamento seguro o certificado client e sua chave privada.


4. Renovação do Certificado Client


  • A validade do certificado client é de até 1 ano;
  • A renovação deve ocorrer antes da expiração, utilizando o mesmo Root CA previamente cadastrado;
  • Após a geração, substitua o certificado client nas integrações e remova o antigo.


5. Revogação do Certificado


Em caso de:

  • Incidente de segurança;

  • Suspeita de comprometimento do certificado client ou Root CA.

➡️ Comunique imediatamente a Flagship via chamado e execute o processo completo de geração e envio novamente.

6. Referência Externa


Para referência técnica do processo, consulte o exemplo da AWS:

Autenticação mTLS no Amazon API Gateway (AWS)

Suporte


Para dúvidas ou acompanhamento de chamados, acesse: Portal de Suporte