• Last edited on: 31 May 2022

Configurer TLS mutuel

Découvrez comment configurer mTLS pour garantir une transmission cXML sécurisée des bons de commande.

Introduction

Mutual TLS (mTLS) permet l'authentification entre vous et votre client Coupa grâce à l'utilisation de clés privées pour vous assurer que vous et votre client êtes bien ceux que vous prétendez être. Les informations contenues dans vos deux certificats TLS permettent également une vérification supplémentaire.

Vous pouvez configurer mTLS pour assurer la transmission cXML sécurisée des bons de commande.

Comment cela fonctionne

Fonctionnement de Mutual TLS

Lorsque vous utilisez Mutual TLS (mTLS), le client envoie la demande de certificat client de négociation mTLS au serveur. Le message de demande de certificat inclut une liste de noms distinctifs des certificats émetteurs approuvés par le serveur. Il indique au client Coupa de répondre avec son propre certificat.

Le client présente le message Certificat client. Il inclut le certificat du client associé à l’un des noms distinctifs répertoriés dans le message de demande de certificat.

Après avoir envoyé le message de demande de certificat et reçu une réponse, le serveur vérifie le certificat du client. Lorsque la vérification réussit, le serveur authentifie le client.

mTLS configure le flux de communication entre le fournisseur et Coupa.

Configurer TLS mutuel

Remarque

Votre client Coupa doit prendre en charge Mutual TLS (mTLS) pour que vous puissiez l'utiliser.

  1. Télécharger le Certificats mTLS ,
  2. Activez mTLS sur votre serveur pour négocier la connexion avec le client (Coupa).
Remarque

Exemple d'utilisation de TLS mutuel avec le serveur web Apache2 :

  1. Obtenez le certificat racine du client. Au cours de la phase TLS de la négociation, le serveur (votre processus d'écoute) envoie au client (Coupa) le nom unique racine approuvé par le serveur. Le client répond ensuite avec un certificat correspondant/un lot de certificats intermédiaires.
  2. Copiez le certificat, y compris le BEGIN/END CERTIFICATE à un fichier sur votre serveur Web.
  3. Utiliser le nom cxml-supplier.coupahost.com.pem ou similaire pour le fichier de certificat.
  1. Configurez votre serveur Web. Après la configuration, votre serveur Web utilise Mutual TLS pour exiger que le client (Coupa) fournisse son certificat X.509 pour s'identifier.
Remarque

Exemple avec le serveur web Apache. Ces directives Apache 2.4 exigent que le client supporte le protocole TLS mutuel. Ils peuvent être appliqués à des répertoires spécifiques ou à toutes les connexions entrantes :

  • SSLVerifyClient requis
  • SSLVerifyDepth 3
  • SSLCACertificateFile /etc/apache2/conf/intermediate.pem

Des instructions différentes mais similaires s'appliquent aux serveurs IIS, F5, Nginx et autres serveurs Web.

  1. Configurez le contrôle d’accès du client en utilisant son identité pour le contrôle d’accès.
Remarque

Cet exemple utilisant Apache est appliqué à un répertoire spécifique.

  1. La bibliothèque SSL est configurée pour créer des variables d'environnement avec les informations du certificat du client.
  2. Le nom commun (CN) du client est vérifié pour s'assurer qu'il s'agit d'un système Coupa.

<Location />
SSLOptions +StdEnvVars
<RequireAny>
Require expr %{SSL_CLIENT_S_DN_CN} == "cxml-supplier.coupahost.com"
</RequireAny>
</Location>

  1. Travaillez avec votre client Coupa pour activer mTLS dans votre dossier Fournisseur dans son instance Coupa.

Certificats mTLS

Document Date ajoutée/mise à jour
intermédiaire.pem 14 avril 2022
cxml-supplier.coupahost.com.pem 14 avril 2022
cxml-supplier.coupacloud.com.pem 14 avril 2022

FAQ et dépannage

Pas encore de questions !

Une partie ou la totalité de cette page peut avoir été traduite par machine. Toutes nos excuses pour les inexactitudes.