Postman e SoapUI, por exemplo, funcionam como um navegador web; durante o processo de "handshake", eles baixam automaticamente informações durante a comunicação com o site. Por exemplo, se você inserir o mesmo endereço no seu navegador web, verá no lado esquerdo do endereço o ícone de segurança e dentro deste ícone toda a cadeia de certificação usada para a conexão.
Apenas tenha em mente que a conexão TLS sobre o protocolo Https funciona com diferentes opções de segurança:
1 - Sem autenticação de usuário: neste caso, apenas os certificados usados no processo de "handshake" entre o consumidor de serviço e o lado do servidor são validados, não há chave privada envolvida e você só precisa inserir essa cadeia de certificados na sua CPI, não será necessário inseri-la no canal.
2 - Com autenticação de cliente: semelhante ao passo um, mas você precisará configurar uma autenticação de usuário e senha (toda a informação no passo um também deve ser executada).
3 - Assinar CSRF: você precisa obter o token através de uma solicitação ao servidor e usar este token no cabeçalho HTTP durante sua chamada (você pode usar ambos os níveis abaixo).
4 - Consumidor de serviço assinado, neste caso você precisará de um certificado com sua chave privada para criar uma assinatura digital em sua mensagem que será validada pelo lado do servidor usando uma chave pública que você disponibiliza. Neste caso, você precisará importar o certificado na CPI e usar o padrão para assinar seu XML.
5 - Validação de certificado: no lado do servidor, um certificado será configurado para o seu usuário e você precisará usar este certificado em seu canal de comunicação (pode incluir todas as opções abaixo).
Existem outras formas de garantir sua conexão, mas estou tentando explicar quantos tipos de segurança serão utilizados em diferentes tipos de configuração dentro da sua integração.
