Infraestructura

Autenticación Mutua (mTLS)

Canal cifrado punto a punto con verificación mutua de identidad. Certificados únicos por IMEI, emitidos por la CA interna de Tracklocator, con revocación centralizada y trazabilidad completa.

TLS 1.2+ mTLS end-to-end Certificado por IMEI CA interna CRL activa Rotación automática RSA-2048 / SHA-256 PFS (ECDHE)
Arquitectura mTLS de extremo a extremo

Arquitectura mTLS de extremo a extremo

  • Identidad del dispositivo: CN teltonika-{IMEI}.
  • Validación mutua: servidor y cliente se autentican con su certificado.
  • Pinning de CA: dispositivos confían solo en la Tracklocator Root CA.
  • Registro de handshakes: huellas y serie para auditoría.
  • Canal cifrado: AES-GCM con PFS (ECDHE_RSA).
  • Backends seguros: validación de cadena y profundidad.
  • Política de reintentos: tolerancia a fallos con límites.
  • Time-outs controlados: evita sesiones colgadas.

Ciclo de vida de certificados

  • Asignación: certificado único por IMEI; serie y metadatos en auditoría.
  • Emisión: perfil clientAuth (EKU 1.3.6.1.5.5.7.3.2) firmado por CA interna.
  • Distribución segura: instalación asistida y verificada.
  • Renovación: rotación automática con anticipación a vencimiento.
  • Revocación: CRL actualizada y validada en el túnel seguro.
  • Re-provisión: por pérdida, robo o cambio de hardware.

Política criptográfica

  • Algoritmos: RSA-2048 y SHA-256.
  • Protocolos: TLS 1.2+; TLS 1.0/1.1 deshabilitados.
  • Cifrado: AES-GCM 128/256 con ECDHE (PFS).
  • Servidor: perfil serverAuth (EKU 1.3.6.1.5.5.7.3.1).
  • Clave privada: custodia interna; acceso restringido por roles.
  • Validez: hasta 730 días según política de Tracklocator.

Validaciones y controles

  • Cadena y CRL: rechazo inmediato si la cadena no es válida o el certificado está revocado.
  • Política de CN: patrón teltonika-{IMEI} y verificación de formato.
  • Profundidad de verificación: solo CA autorizadas.
  • Requisitos de EKU/KeyUsage: acorde al rol (cliente/servidor).
  • Registros: trazas de handshake, serie y causa de error.

Operación y respuesta

  • Monitoreo 24/7: túneles TLS, tasas de handshake y latencia.
  • Alertas: expiración próxima, errores de certificado y anomalías.
  • RBAC: administración con mínimos privilegios.
  • Playbooks: revocación inmediata por pérdida/robo/compromiso.
  • Auditoría: bitácora con serie, IMEI, emisión y motivo de revocación.
Provisionamiento y compatibilidad de mTLS

Compatibilidad y provisión

  • Dispositivos compatibles: equipos con soporte TLS 1.2 y certificado cliente.
  • Paquetes instalados: certificado de dispositivo, clave y CA raíz.
  • Política de actualización: rotación programada y verificada.
  • Hardening: deshabilitar suites débiles y renegociación insegura.
  • Validación de servidor: hostname/CA y profundidad de cadena.
  • Trazabilidad: registro por IMEI y número de serie del certificado.

  • Regístrate y obtén una demo gratuita

  • Habla con nuestro equipo experto

  • Recibe atención rápida y profesional