Ответ
В Postman есть встроенная поддержка SSL/TLS сертификатов для тестирования защищенных API, включая сценарии с взаимной аутентификацией (mTLS).
Настройка клиентских сертификатов:
- Перейдите в Settings → Certificates.
- В секции Client Certificates нажмите Add Certificate.
- Укажите:
- Host: Домен или IP-адрес API (например,
api.example.com). - Port: Обычно
443. - CRT file: Файл сертификата (
.crt,.pem). - KEY file: Файл приватного ключа.
- (Опционально) Passphrase: Если ключ защищен паролем.
- Host: Домен или IP-адрес API (например,
Важные нюансы:
- Самоподписанные сертификаты: Для тестовых сред часто используются самоподписанные сертификаты. Их проверку можно отключить в Settings → General → SSL certificate verification. Важно: не отключать проверку в production-средах.
- Запуск через Newman: Для CLI-запусков с Newman сертификаты передаются флагами:
newman run collection.json --ssl-client-cert path/to/client.crt --ssl-client-key path/to/client.key --ssl-extra-ca-certs path/to/ca.pem - mTLS (двусторонняя аутентификация): Требует загрузки как клиентского сертификата (в Postman), так и настройки сервера на прием таких сертификатов. Postman автоматически отправляет настроенный клиентский сертификат при запросе к указанному хосту.
Эта функциональность критична для тестирования API в корпоративных и финансовых средах с повышенными требованиями безопасности.