相互認証での証明書

クライアント証明書のオペレーション

クライアント証明書は、証明書チェーン検証と ID 検証を別々に実行する 2 つのレイヤを使用して信頼を確立します。

証明書チェーン検証

API クライアントがポート 8443 で組織の API エンドポイントに接続すると、そのエンドポイントは TLS ハンドシェイクの間にクライアント証明書のリクエストを送信します。
組織の API エンドポイントは次のとおりです。 

• [私のドメイン] の URL

リクエストには、クライアント証明機関名の空のリストがあります。API クライアントは TLS ハンドシェイク中に、クライアント証明書チェーン (クライアント証明書と、クライアント証明書とそのルート証明書の間の信頼パスに存在するすべての中間証明書) を Salesforce に送信する必要があります。

Salesforce では標準の証明書チェーン検証を使用して、クライアント証明書チェーンが適切に署名され、Salesforce のルート証明書によって信頼されていることを確認します。これには、すべての証明書の信頼性タイムスタンプの時間的な確認と、証明書失効リストを使用した失効チェックが含まれます。チェーンの各証明書の署名は、それぞれの発行機関の証明書の公開キーを使用して検証します。

証明書 ID 検証

クライアントの証明書の ID 情報は、Salesforce アプリケーションサーバーへのリクエスト内で渡されます。Salesforce のアプリケーションサーバー内では、ユーザーが「SSL/TLS 相互認証を適用」のユーザー権限を有効にしている場合にクライアント証明書の ID 検証が行われます。

「SSL/TLS 相互認証を適用」のユーザー権限を有効にしているユーザーが Salesforce にアクセスすると、組織からの相互認証証明書の検索にクライアント証明書の ID 情報が使用されます。証明書が見つかり、Salesforce に送信されたクライアント証明書と一致した場合は、アクセスが付与されます。一致しなかった場合や見つからなかった場合、アクセスは拒否されます。クライアント証明書が API クライアントによって表示された場合、そのユーザーの Salesforce へのアクセスは拒否されます。

「SSL/TLS 相互認証を適用」のユーザー権限が有効になっていないユーザーは、証明書がない場合でも、アウトバウンドメッセージング SSL CA 証明書のリストのルート証明書に連なる証明書がある場合でも、Salesforce にアクセスできます。 

注意:  相互認証を実行するには、 [私のドメイン] の URL を使用する必要があります。

相互認証を使用するための API クライアントの設定​​​​​​