• Dernière modification le: 17 April 2023

Configurer TLS mutuel

Apprenez comment configurer mTLS pour assurer une transmission cXML sécurisée des bons de commande.

Introduction

Le TLS mutuel (mTLS) permet l'authentification entre vous et votre client Coupa grâce à l'utilisation de clés privées pour vous assurer que vous et votre client êtes ce que vous dites être. Les informations contenues dans vos deux certificats TLS fournissent également une vérification supplémentaire.

Vous pouvez configurer mTLS pour assurer la transmission sécurisée du bon de commande cXML.

Comment ça marche

Fonctionnement du TLS mutuel

Lorsque vous utilisez Mutual TLS (mTLS), le client envoie le message mTLS handshake Client Certificate Request au serveur. Le message de demande de certificat comprend une liste des noms distinctifs des certificats d'émission auxquels le serveur fait confiance. Il indique au client Coupa de répondre avec son propre certificat.

Le client présente le message du certificat du client. Il comprend le certificat du client qui s'associe à l'un des noms distinctifs répertoriés dans le message de demande de certificat.

Après avoir envoyé le message de demande de certificat et reçu une réponse, le serveur vérifie le certificat du client. Lorsque la vérification est réussie, le serveur a authentifié le client.

flux de communication de configuration mTLS entre le fournisseur et Coupa.

Configurez le TLS mutuel

Remarque

Votre client Coupa doit prendre en charge Mutual TLS (mTLS) pour que vous puissiez l'utiliser.

  1. Téléchargez les certificats mtls. Voir la section Certificats mTLS ci-dessous.
  2. Activez mTLS sur votre serveur pour négocier la connexion avec le client (Coupa).
Note

Exemple d'utilisation de TLS mutuel à l'aide du serveur Web Apache2 :

  1. Obtenir le certificat racine pour le client. Au cours de la partie TLS mutuelle de la poignée de main, le serveur (votre auditeur) envoie au client (Coupa) le nom distinctif racine auquel le serveur fait confiance. Le client répond alors avec un ensemble certificat correspondant/certificat intermédiaire.
  2. Copiez le certificat, y compris les lignes de CERTIFICAT de DÉBUT/FIN, dans un fichier sur votre serveur Web.
  3. Utilisez le nom cxml-supplier.coupahost.com.pem ou similaire pour le fichier de certificat.
  1. Configurez votre serveur Web. Après la configuration, votre serveur Web utilise Mutual TLS pour exiger que le client (Coupa) fournisse son certificat X.509 pour s'identifier.
Remarque

Exemple d'utilisation du serveur web Apache. Ces directives Apache 2.4 exigent que le client prenne en charge le protocole TLS mutuel. Ils peuvent être appliqués à des répertoires spécifiques, ou à toutes les connexions entrantes :

  • SSLVerifyClient requis
  • SSLVerifyDepth 3
  • SSLCACertificateFile /etc/apache2/conf/intermediate.pem

Des instructions différentes mais similaires s'appliquent pour IIS, F5, Nginx et d'autres serveurs Web.

  1. Configurez le contrôle d'accès du client en utilisant l'identité du client pour le contrôle d'accès.
Note

Cet exemple utilisant Apache est appliqué à un répertoire spécifique.

  1. La bibliothèque SSL est définie pour créer des variables d'environnement avec les informations du certificat du client.
  2. Le nom commun (CN) du client est vérifié pour s'assurer qu'il s'agit d'un système Coupa.

<Location />
SSLOptions +StdEnvVars
<RequireAny>
Exiger expr %{SSL_CLIENT_S_DN_CN} == "cxml-supplier.coupahost.com"
</RequireAny>
</Location>

  1. Travaillez avec votre client Coupa pour activer mTLS dans votre dossier fournisseur dans son instance Coupa.

certificats mTLS

Document Date ajoutée/mise à jour
digicert-intermediate.pem 17 avril 2023
cxml-supplier.coupahost.com.pem 17 avril 2023
cxml-supplier.coupacloud.com.pem 17 avril 2023

    FAQ et dépannage

    Il n'y a pas encore de questions !

    Une partie ou la totalité de cette page peut avoir été traduite par machine. Toutes nos excuses pour les inexactitudes.