相互TLSの設定

安全な発注書cXML送信を確保するためのmTLSの設定方法を学びます。

概要

Mutual TLS ( mTLS )を使用すると、秘密鍵を使用してCoupaの顧客との間で認証を行うことができ、あなたと顧客の両方があなた自身であることを確認できます。 両方のTLS証明書内の情報も、追加の検証を提供します。

MTLSを設定して、安全な発注書cXML送信を確実にすることができます。

相互TLSの仕組み

相互TLS ( mTLS )を使用すると、クライアントはmTLSハンドシェイククライアント証明書要求メッセージをサーバーに送信します。 証明書要求メッセージには、サーバーが信頼する証明書を発行する際の識別名のリストが含まれます。 Coupaクライアントに独自の証明書で応答するように指示します。

クライアントは、クライアント証明書メッセージを提示します。 これには、証明書要求メッセージに記載されている識別名の1つに関連するクライアントの証明書が含まれます。

証明書要求メッセージを送信し、応答を受信した後、サーバーはクライアントの証明書を検証します。 検証が成功すると、サーバーはクライアントを認証しました。

次の画像は、上記のように、企業とサプライヤー間のPO送信の流れを示しています。

相互TLSを設定する

  1. Coupaの顧客がMutual TLS ( mTLS )をサポートしていることを確認してください。
  2. Mtls証明書をダウンロードします。 以下の mTLS証明書 セクションを参照してください。
  3. サーバーでmTLSを有効にして、クライアント( Coupa )との接続をネゴシエートします。
注:

Apache 2 Webサーバーを使用した相互TLSの使用例:

  1. クライアントのルート証明書を取得します。 ハンドシェイクの相互TLS部分では、サーバー(リスナー)は、サーバーが信頼するルート識別名をクライアント( Coupa )に送信します。 次いで、クライアントは、一致する証明書/中間証明書バンドルで応答する。
  2. 行の開始/終了証明書 行を含む証明書をWebサーバー上のファイルにコピーします。
  3. 証明書ファイルには、 cxml-supplier.coupahost.com.pem または同様の名前を使用します。
  1. Webサーバーを設定します。 設定後、Webサーバーは相互TLSを使用して、クライアント( Coupa )が自身を識別するためにX.509証明書を提供する必要があります。
注:

Apache Webサーバーを使用する例。 これらのApache 2.4ディレクティブでは、クライアントが相互TLSをサポートする必要があります。 これらは、特定のディレクトリに適用することも、すべての着信接続に適用することもできます。

  • SSLVerifyClientが必要です
  • SSLVerifyDepth 3
  • SSLCACertificateFile/etc/apache 2/conf/intermediate.pem

IIS、F 5、Nginx、およびその他のWebサーバーには、異なるが同様の手順が適用されます。

  1. アクセス制御にクライアントのIDを使用して、クライアントのアクセス制御を構成します。
注:

Apacheを使用したこの例は、特定のディレクトリに適用されます。

  1. SSLライブラリは、クライアントの証明書からの情報を使用して環境変数を作成するように設定されています。
  2. クライアントの一般名( CN )がチェックされ、Coupaシステムであることが確認されます。

<Location /> SSLOptions + StdEnvVars <RequireAny> Require expr %{SSL_CLIENT_S_DN_CN} ==" cxml-supplier.coupahost.com " </RequireAny> </Location>

  1. Coupaの顧客と協力して、CoupaインスタンスのサプライヤーレコードでmTLSを有効にします。

mTLS証明書

表 1.
文書更新日
digicert-intermediate.pem変わりありません。
cxml-supplier-coupahost.com.pemサンドボックス: 2026年2月10日制作: 2026年2月12日