Configurer TLS mutuel
Apprenez comment configurer mTLS pour assurer une transmission cXML sécurisée des bons de commande.
Introduction
Le TLS mutuel (mTLS) permet l'authentification entre vous et votre client Coupa grâce à l'utilisation de clés privées pour vous assurer que vous et votre client êtes ce que vous dites être. Les informations contenues dans vos deux certificats TLS fournissent également une vérification supplémentaire.
Vous pouvez configurer mTLS pour assurer la transmission sécurisée du bon de commande cXML.
Comment ça marche
Fonctionnement du TLS mutuel
Lorsque vous utilisez Mutual TLS (mTLS), le client envoie le message mTLS handshake Client Certificate Request au serveur. Le message de demande de certificat comprend une liste des noms distinctifs des certificats d'émission auxquels le serveur fait confiance. Il indique au client Coupa de répondre avec son propre certificat.
Le client présente le message du certificat du client. Il comprend le certificat du client qui s'associe à l'un des noms distinctifs répertoriés dans le message de demande de certificat.
Après avoir envoyé le message de demande de certificat et reçu une réponse, le serveur vérifie le certificat du client. Lorsque la vérification est réussie, le serveur a authentifié le client.
Configurez le TLS mutuel
Votre client Coupa doit prendre en charge Mutual TLS (mTLS) pour que vous puissiez l'utiliser.
- Téléchargez les certificats mtls. Voir la section Certificats mTLS ci-dessous.
- Activez mTLS sur votre serveur pour négocier la connexion avec le client (Coupa).
Exemple d'utilisation de TLS mutuel à l'aide du serveur Web Apache2 :
- Obtenir le certificat racine pour le client. Au cours de la partie TLS mutuelle de la poignée de main, le serveur (votre auditeur) envoie au client (Coupa) le nom distinctif racine auquel le serveur fait confiance. Le client répond alors avec un ensemble certificat correspondant/certificat intermédiaire.
- Copiez le certificat, y compris les lignes de
CERTIFICAT de DÉBUT/FIN
, dans un fichier sur votre serveur Web. - Utilisez le nom
cxml-supplier.coupahost.com.pem
ou similaire pour le fichier de certificat.
- Configurez votre serveur Web. Après la configuration, votre serveur Web utilise Mutual TLS pour exiger que le client (Coupa) fournisse son certificat X.509 pour s'identifier.
Exemple d'utilisation du serveur web Apache. Ces directives Apache 2.4 exigent que le client prenne en charge le protocole TLS mutuel. Ils peuvent être appliqués à des répertoires spécifiques, ou à toutes les connexions entrantes :
- SSLVerifyClient requis
- SSLVerifyDepth 3
- SSLCACertificateFile /etc/apache2/conf/intermediate.pem
Des instructions différentes mais similaires s'appliquent pour IIS, F5, Nginx et d'autres serveurs Web.
- Configurez le contrôle d'accès du client en utilisant l'identité du client pour le contrôle d'accès.
Cet exemple utilisant Apache est appliqué à un répertoire spécifique.
- La bibliothèque SSL est définie pour créer des variables d'environnement avec les informations du certificat du client.
- Le nom commun (CN) du client est vérifié pour s'assurer qu'il s'agit d'un système Coupa.
<Location />
</Location>
SSLOptions +StdEnvVars
<RequireAny>
Exiger expr %{SSL_CLIENT_S_DN_CN} == "cxml-supplier.coupahost.com"
</RequireAny>
- Travaillez avec votre client Coupa pour activer mTLS dans votre dossier fournisseur dans son instance Coupa.
certificats mTLS
FAQ et dépannage
Il n'y a pas encore de questions !