Integración con la RA API

Descripción general

Esta guía describe el flujo de integración con la RA API de Redtrust: autenticación, emisión y renovación de certificados. Está dirigida a desarrolladores de partners con capacidad para emitir certificados.

Autenticación

La RA API admite dos mecanismos de autenticación.

Login directo

Autenticación servidor a servidor mediante POST /raapi/v1/auth/login con las credenciales del usuario de aplicación. Devuelve un accessToken y un refreshToken.

Consulta el endpoint completo en la referencia de la RA API.

Redirección HMAC

Flujo de redirección para integraciones donde el usuario se autentica mediante la interfaz web de Redtrust. El navegador se redirige a:

https://TU_IP_REDTRUST:PUERTO/authclient/auth/loginrequest?Consumer=RA_API&Domain=TU_DOMINIO&RedirectUrl=URL_REDIRECCIÓN&timestamp=TIMESTAMP&partner=NOMBRE_PARTNER&hmac=FIRMA_HMAC

Donde:

• TU_IP_REDTRUST es la dirección IP o el nombre de host del servidor Redtrust.
• PUERTO es el puerto de acceso al servicio (por defecto 8082).
• TU_DOMINIO es el dominio de los usuarios (opcional).
• URL_REDIRECCIÓN es la URL de retorno tras la autenticación. Aplica UrlEncode.
• TIMESTAMP es la marca de tiempo en formato UNIX.
• NOMBRE_PARTNER es el nombre en mayúsculas de la aplicación cliente.
• FIRMA_HMAC es la firma HMAC-SHA256 generada con la clave compartida.

Tras la autenticación, Redtrust redirige a la URL configurada con un token temporal en el parámetro tkn. Este token debe intercambiarse por un token de acceso mediante POST /authapi/v1/login_by_temp_token. Consulta el endpoint en la referencia de la RA API.

En ambos casos, el accessToken obtenido se incluye como Bearer token en todas las llamadas a endpoints protegidos.

Emisión de certificados

La emisión requiere dos llamadas consecutivas:

1. POST /raapi/v1/csr/create — genera el par de claves en el servidor y devuelve el CSR y un requestCode.
2. PUT /raapi/v1/csr/finalize — completa la emisión usando el requestCode. Devuelve el idCertificate y el thumbprint del certificado emitido.

El campo provider en la llamada a POST /raapi/v1/csr/create identifica el proveedor de certificados. Consulta la documentación del proveedor para conocer el valor correcto.

Consulta la descripción completa de ambos endpoints en la referencia de la RA API. Para un ejemplo completo con Camerfirma, consulta el tutorial Integración con Camerfirma.

Renovación de certificados

El flujo de renovación usa los mismos endpoints que la emisión. La única diferencia es el campo thumbprintToRenew en el body de POST /raapi/v1/csr/create, que identifica el certificado a renovar. El nuevo certificado reemplaza al anterior y conserva su configuración y asociaciones.