Configurer TLS mutuel
Découvrez comment configurer mTLS pour garantir une transmission cXML sécurisée des bons de commande.
Introduction
Mutual TLS (mTLS) permet l'authentification entre vous et votre client Coupa grâce à l'utilisation de clés privées pour vous assurer que vous et votre client êtes bien ceux que vous prétendez être. Les informations contenues dans vos deux certificats TLS permettent également une vérification supplémentaire.
Vous pouvez configurer mTLS pour assurer la transmission cXML sécurisée des bons de commande.
Comment cela fonctionne
Fonctionnement de Mutual TLS
Lorsque vous utilisez Mutual TLS (mTLS), le client envoie la demande de certificat client de négociation mTLS au serveur. Le message de demande de certificat inclut une liste de noms distinctifs des certificats émetteurs approuvés par le serveur. Il indique au client Coupa de répondre avec son propre certificat.
Le client présente le message Certificat client. Il inclut le certificat du client associé à l’un des noms distinctifs répertoriés dans le message de demande de certificat.
Après avoir envoyé le message de demande de certificat et reçu une réponse, le serveur vérifie le certificat du client. Lorsque la vérification réussit, le serveur authentifie le client.
Configurer TLS mutuel
Votre client Coupa doit prendre en charge Mutual TLS (mTLS) pour que vous puissiez l'utiliser.
- Télécharger le Certificats mTLS ,
- Activez mTLS sur votre serveur pour négocier la connexion avec le client (Coupa).
Exemple d'utilisation de TLS mutuel avec le serveur web Apache2 :
- Obtenez le certificat racine du client. Au cours de la phase TLS de la négociation, le serveur (votre processus d'écoute) envoie au client (Coupa) le nom unique racine approuvé par le serveur. Le client répond ensuite avec un certificat correspondant/un lot de certificats intermédiaires.
-
Copiez le certificat, y compris le
BEGIN/END CERTIFICATE
à un fichier sur votre serveur Web. -
Utiliser le nom
cxml-supplier.coupahost.com.pem
ou similaire pour le fichier de certificat.
- Configurez votre serveur Web. Après la configuration, votre serveur Web utilise Mutual TLS pour exiger que le client (Coupa) fournisse son certificat X.509 pour s'identifier.
Exemple avec le serveur web Apache. Ces directives Apache 2.4 exigent que le client supporte le protocole TLS mutuel. Ils peuvent être appliqués à des répertoires spécifiques ou à toutes les connexions entrantes :
- SSLVerifyClient requis
- SSLVerifyDepth 3
- SSLCACertificateFile /etc/apache2/conf/intermediate.pem
Des instructions différentes mais similaires s'appliquent aux serveurs IIS, F5, Nginx et autres serveurs Web.
- Configurez le contrôle d’accès du client en utilisant son identité pour le contrôle d’accès.
Cet exemple utilisant Apache est appliqué à un répertoire spécifique.
- La bibliothèque SSL est configurée pour créer des variables d'environnement avec les informations du certificat du client.
- Le nom commun (CN) du client est vérifié pour s'assurer qu'il s'agit d'un système Coupa.
<Location />
SSLOptions +StdEnvVars
<RequireAny>
Require expr %{SSL_CLIENT_S_DN_CN} == "cxml-supplier.coupahost.com"
</RequireAny>
</Location>
- Travaillez avec votre client Coupa pour activer mTLS dans votre dossier Fournisseur dans son instance Coupa.
Certificats mTLS
FAQ et dépannage
Pas encore de questions !
Une partie ou la totalité de cette page peut avoir été traduite par machine. Toutes nos excuses pour les inexactitudes.