Gegenseitiges TLS einrichten
Einleitung
Gegenseitiges TLS (mTLS) ermöglicht die Authentifizierung zwischen Ihnen und Ihrem Coupa-Kunden mithilfe von privaten Schlüsseln, um sicherzustellen, dass sowohl Sie als auch Ihr Kunde das sind, was Sie vorgeben. Die Informationen in beiden Ihrer TLS-Zertifikate bieten auch eine zusätzliche Überprüfung.
Sie können mTLS einrichten, um eine sichere cXML-Übertragung von Bestellungen zu gewährleisten.
So funktioniert es
So funktioniert Mutual TLS
Wenn Sie Mutual TLS (mTLS) verwenden, sendet der Client die mTLS-Handshake-Client-Zertifikatanforderung Nachricht an den Server senden. Die Zertifikatsanforderungsnachricht enthält eine Liste der eindeutigen Namen der ausstellenden Zertifikate, denen der Server vertraut. Er weist den Coupa-Kunden an, mit einem eigenen Zertifikat zu antworten.
Der Client zeigt die Clientzertifikatnachricht an. Es enthält das Zertifikat des Kunden, das mit einem der in der Zertifikatanforderungsnachricht aufgeführten Distinguished Names verknüpft ist.
Nachdem die Zertifikatanforderungsnachricht gesendet und eine Antwort erhalten wurde, überprüft der Server das Zertifikat des Kunden. Wenn die Verifizierung erfolgreich ist, hat der Server den Client authentifiziert.
Gegenseitiges TLS einrichten
Ihr Coupa-Kunde muss Mutual TLS (mTLS) unterstützen, damit Sie es verwenden können.
- Laden Sie die mTLS-Zertifikate ,
- Aktivieren Sie mTLS auf Ihrem Server, um die Verbindung mit dem Client (Coupa) auszuhandeln.
Beispiel für die Verwendung von Mutual TLS auf dem Apache2-Webserver:
- Rufen Sie das Stammzertifikat für den Kunden ab. Während des gegenseitigen TLS-Teils des Handshakes sendet der Server (Ihr Listener) dem Client (Coupa) den Root Distinguished Name, dem der Server vertraut. Der Kunde antwortet dann mit einem übereinstimmenden Zertifikat/Zwischenzertifikatbündel.
-
Kopieren Sie das Zertifikat, einschließlich
BEGIN/END CERTIFICATE
-Zeilen in eine -Datei auf Ihrem Webserver. -
Den Namen verwenden
cxml-supplier.coupahost.com.pem
oder Ähnliches für die Zertifikatdatei.
- Konfigurieren Sie Ihren Webserver. Nach der Konfiguration verwendet Ihr Webserver Mutual TLS, um zu verlangen, dass der Client (Coupa) sein X.509-Zertifikat bereitstellt, um sich zu identifizieren.
Beispiel für die Verwendung des Apache-Webservers. Diese Apache 2.4-Direktiven erfordern, dass der Kunde Mutual TLS unterstützt. Sie können auf bestimmte Verzeichnisse oder auf alle eingehenden Verbindungen angewendet werden:
- SSLVerifyClient erforderlich
- SSLVerifyDepth 3
- SSLCACertificateFile /etc/apache2/conf/intermediate.pem
Für IIS, F5, Nginx und andere Webserver gelten andere, aber ähnliche Anweisungen.
- Konfigurieren Sie die Clientzugriffssteuerung, indem Sie die Identität des Kunden für die Zugriffssteuerung verwenden.
Dieses Beispiel mit Apache wird auf ein bestimmtes Verzeichnis angewendet.
- Die SSL-Bibliothek ist so eingestellt, dass Umgebungsvariablen mit Informationen aus dem Zertifikat des Kunden erstellt werden.
- Der gebräuchliche Kundenname (CN) wird überprüft, um sicherzustellen, dass es sich um ein Coupa-System handelt.
<Location />
SSLOptions +StdEnvVars
<RequireAny>
Require expr %{SSL_CLIENT_S_DN_CN} == "cxml-supplier.coupahost.com"
</RequireAny>
</Location>
- Arbeiten Sie mit Ihrem Coupa-Kunden zusammen, um mTLS in Ihrem Lieferantendatensatz in seiner Coupa-Instanz zu aktivieren.
mTLS-Zertifikate
FAQ und Problembehebung
Noch keine Fragen!
Parts or all of this page might have been machine-translated. We apologize for any inaccuracies.