Hola,
Si, en esos parámetros van certificados de tipo ssl client. El CA sirve para “validar” la autenticidad del certificado en cuestión. O sea, el que valida el certificado es quien lo recibe (como una petición previa a la conexión a la api). El que lo recibe sería el servidor Mapuche, que recibe la consulta del cliente Huarpe. El CA debería estar entonces registrado en el servidor Mapuche.
No, para nada. Es otra cuestión totalmente distinta. Los certificados ssl client son para validar las conexiones REST de las apis, entre ellas. El servicio de simplesaml es utilizado para validar el login/sesión de los usuarios. Por otro lado, simplesaml también hace uso de un tipo de certificado… en la doc está bien especificado como crearlo, simple, sin necesitar estar firmado (es solo para encriptar el token saml para la conexión de las aplicaciones con simplesaml.
Para validar la conexión a las api, ej. ejecutando desde un cliente Huarpe hacia un servidor Mapuche, tendría que hacerse algo así
curl https://mapuche.xxx.edu.ar/rest/agentes/999 --key /srv/certs/huarpe.ssl.client.key --cert /srv/certs/huarpe.ssl.client.crt
Donde 999 es el legajo de un agente, junto con las claves de cliente ssl de Huarpe. Esto te daría como resultado algo similar a esto si fué todo bien:
{ "legajo": 999, "agente": "apellido, nombre, "apellido": "apellido", "desc_apmat": null, "nombre": "nombre", "documento": "DNI 334455566", "tipo_documento": "DNI", "numero_documento": 334455566, "cuil": "27-334455566-0", "tipo_sexo": "F", "fecha_nacimiento": "1971-22-19", "estado": "A", "descripcion_estado": "Activo", "datos_combo": "999 - apellido, nombre", "fecha_jubilacion": null, "fecha_ingreso": "1998-05-01" }
Espero ayude a poder ir depurando un poco el estado de la instalación. Pueden probar validar con curl la conexión desde Huarpe (cliente) hacia la api de Usuarios (servidor) o hacia Mapuche (servidor), también desde Mapuche (como cliente ojo!) hacia la api de Usuarios (como servidor). Es todo un poco complejo al configurar pero una vez funciona … es llevadero. De todas formas planeamos liberar una mejora sobre este mecanismo, a futuro.
Saludos!