Postman y SoapUI, por ejemplo, funcionan como un navegador web; durante el proceso de "handshake", descargan automáticamente información durante la comunicación con el sitio web. Por ejemplo, si insertas la misma dirección en tu navegador web, verás en el lado izquierdo de la dirección el icono de seguridad y dentro de este icono toda la cadena de certificación utilizada para la conexión.
Solo necesitas tener en cuenta que la conexión TLS sobre el protocolo Https funciona con diferentes opciones de seguridad:
1 - Sin autenticación de usuario: en este caso, solo se validan los certificados utilizados en el proceso de "handshake" entre el consumidor de servicio y el lado del servidor, no hay clave privada involucrada y solo necesitas insertar esta cadena de certificados en tu CPI, no será necesario insertarla en el canal.
2 - Con autenticación de cliente: similar al paso uno, pero necesitarás configurar una autenticación de usuario y contraseña (toda la información en el paso uno también debe ejecutarse).
3 - Firmar CSRF: necesitas obtener el token mediante una solicitud al servidor y usar este token en el encabezado HTTP durante tu llamada (puedes usar ambos niveles a continuación).
4 - Consumidor de servicio firmado, en este caso necesitarás un certificado con tu clave privada para crear una firma digital en tu mensaje que será validada por el lado del servidor utilizando una clave pública que le haces disponible. En este caso, deberás importar el certificado en CPI y usar el patrón para firmar tu XML.
5 - Validación de certificado: en el lado del servidor, se configurará un certificado para tu usuario y necesitarás usar este certificado en tu canal de comunicación (puede incluir todas las opciones a continuación).
Hay otras formas de hacer segura tu conexión, pero estoy intentando explicarte cuántos tipos de seguridad se utilizarán en diferentes tipos de configuración dentro de tu integración.
