• Zuletzt bearbeitet am: 17 April 2023

Gegenseitiges TLS einrichten

Erfahren Sie, wie Sie mTLS einrichten, um eine sichere cXML-Übertragung von Bestellungen zu gewährleisten.

Einleitung

Gegenseitiges TLS (mTLS) ermöglicht die Authentifizierung zwischen Ihnen und Ihrem Coupa-Kunden durch die Verwendung von privaten Schlüsseln, um sicherzustellen, dass sowohl Sie als auch Ihr Kunde der sind, für den Sie sich ausgeben. Die Informationen in beiden TLS-Zertifikaten bieten auch eine zusätzliche Überprüfung.

Sie können mTLS einrichten, um eine sichere cXML-Übertragung der Bestellung zu gewährleisten.

So funktioniert es

So funktioniert gegenseitiges TLS

Wenn Sie Mutual TLS (mTLS) verwenden, sendet der Client die mTLS Handshake Client Certificate Request Nachricht an den Server. Die Zertifikatanforderungsnachricht enthält eine Liste der ausgezeichneten Namen der ausstellenden Zertifikate, denen der Server vertraut. Es weist den Coupa-Client an, mit einem eigenen Zertifikat zu antworten.

Der Client zeigt die Client-Zertifikat-Nachricht an. Es enthält das Zertifikat des Kunden, das mit einem der in der Zertifikatanforderungsnachricht aufgeführten Distinguished Names verknüpft ist.

Nach dem Senden der Zertifikatsanforderungsnachricht und dem Empfang einer Antwort überprüft der Server das Zertifikat des Clients. Wenn die Verifizierung erfolgreich ist, hat der Server den Client authentifiziert.

mTLS-Setup-Kommunikationsfluss zwischen Lieferant und Coupa.

Gegenseitiges TLS einrichten

Hinweis

Ihr Coupa-Kunde muss Mutual TLS (mTLS) unterstützen, damit Sie es verwenden können.

  1. Downloaden Sie die MTLS-Zertifikate. Siehe den Abschnitt mTLS-Zertifikate unten.
  2. Aktivieren Sie mTLS auf Ihrem Server, um die Verbindung mit dem Client (Coupa) auszuhandeln.
Hinweis

Beispiel für die Verwendung von gegenseitigem TLS mit dem Apache2-Webserver:

  1. Holen Sie sich das Stammzertifikat für den Client. Während des gegenseitigen TLS-Teils des Handshakes sendet der Server (Ihr Zuhörer) dem Client (Coupa) den Root Distinguished Name, dem der Server vertraut. Der Client antwortet dann mit einem passenden Zertifikat/Zwischenzertifikat-Bundle.
  2. Kopieren Sie das Zertifikat, einschließlich der ANFANGS-/Endzertifikatszeilen, in eine Datei auf Ihrem Webserver.
  3. Verwenden Sie den Namen cxml-supplier.coupahost.com.pem oder ähnlich für die Zertifikatsdatei.
  1. Konfigurieren Sie Ihren Webserver. Nach der Konfiguration verwendet Ihr Webserver Mutual TLS, um zu verlangen, dass der Client (Coupa) sein X.509-Zertifikat bereitstellt, um sich zu identifizieren.
Hinweis

Beispiel mit dem Apache-Webserver. Diese Apache 2.4-Richtlinien erfordern, dass der Client Mutual TLS unterstützt. Sie können auf bestimmte Verzeichnisse oder auf alle eingehenden Verbindungen angewendet werden:

  • SSLVerifyClient erforderlich
  • SSLVerifyDepth 3
  • SSLCACertificateFile /etc/apache2/conf/intermediate.pem

Für IIS, F5, Nginx und andere Webserver gelten andere, aber ähnliche Anweisungen.

  1. Konfigurieren Sie die Client-Zugriffskontrolle, indem Sie die Client-Identität für die Zugriffskontrolle verwenden.
Hinweis

Dieses Beispiel mit Apache wird auf ein bestimmtes Verzeichnis angewendet.

  1. Die SSL-Bibliothek ist so eingestellt, dass Umgebungsvariablen mit Informationen aus dem Zertifikat des Clients erstellt werden.
  2. Der Common Name (CN) des Kunden wird überprüft, um sicherzustellen, dass es sich um ein Coupa-System handelt.

<Location />
SSLOptions +StdEnvVars
<RequireAny>
Require expr %{SSL_CLIENT_S_DN_CN} == "cxml-supplier.coupahost.com"
</RequireAny>
</Location>

  1. Arbeiten Sie mit Ihrem Coupa-Kunden zusammen, um mTLS in Ihrem Lieferantendatensatz in seiner Coupa-Instanz zu aktivieren.

mTLS-Zertifikate

Dokument Hinzugefügt/Aktualisiert am
digicert-intermediate.pem 17. April 2023
cxml-supplier.coupahost.com.pem 17. April 2023
cxml-supplier.coupacloud.com.pem 17. April 2023

    FAQ und Fehlerbehebung

    Noch keine Fragen!

    Hinweis: Einige Inhalte wurden maschinell übersetzt.