Informationen zu allen von Salesforce unterstützten SSL-Zertifikaten

Salesforce in Funktion als Client

Beim Senden ausgehender Nachrichten, delegierter Authentifizierungsanforderungen oder Apex-Callouts an sichere Endpunkte/SSL-Endpunkte (z. B. https://myintegration.acme.com) vertraut eine Salesforce.com-Organisation (die als Client fungiert) dem Zielhost (der als Server fungiert) nur, wenn dieser ein Zertifikat präsentiert, das von einer Stammzertifizierungsstelle signiert wurde, die in der über den folgenden Link aufrufbaren Liste enthalten ist. Mit anderen Worten können bei diesem Szenario keine selbstsignierten Zertifikate vom Zielhost verwendet werden.

HINWEIS:

Salesforce vertraut bis auf wenige historische Ausnahmen nur Zertifikaten von Stammzertifizierungsstellen. Die Richtlinie zur Zertifikatvertrauenswürdigkeit von Salesforce besteht darin, dass Server- und Client -Zertifikatsketten erforderlich sind, damit alle zwischengeschalteten Zertifikate mit einbezogen werden, die zwischen dem Server- oder Client-Zertifikat und dem Stammzertifikat der Kette vorhanden sind. Salesforce berücksichtigt keine Anfragen, bei denen zwischengeschaltete Zertifikate der Vertrauensliste hinzugefügt werden sollen. Salesforce vertraut vielen allgemein vertrauenswürdigen Stammzertifikaten, aber nicht allen.

Wenn Sie eine aktuelle Liste der unterstützten Zertifikate anzeigen möchten, können Sie /cacerts.jsp an einen beliebigen Instanz-URL anhängen (dieser Endpunkt kann nur für Instanzen der Version Winter '19 verwendet werden) – https://INSTANZ.salesforce.com/cacerts.jsp (ersetzen Sie "INSTANZ" durch eine Instanz mit Upgrade auf Winter '19, z. B. https://cs32.salesforce.com/cacerts.jsp).

Wenn Sie die gegenseitige Authentifizierung/SSL in beide Richtungen verwenden, kann Salesforce.com dem Zielhost ein selbstsigniertes Zertifikat bereitstellen (dieser muss Salesforce ein von einer Zertifizierungsstelle signiertes Zertifikat bereitstellen), sofern dieses Zertifikat auf dem Zielhost konfiguriert (im Schlüsselspeicher des Zielservers installiert) wurde.

Salesforce in Funktion als Server

Wenn in einer Salesforce-Organisation Single Sign-On aktiviert ist und SAML verwendet wird, fungiert die Organisation als Serviceanbieter (Service Provider, SP). In diesem Fall fungiert Salesforce als Server und der konfigurierte Identitätsanbieter (Identity Provider, IdP) fungiert als Client. Es darf kein selbstsigniertes Zertifikat bereitgestellt werden.

Client-Authentifizierung

Beim Senden ausgehender Nachrichten, von Anforderungen zur delegierten Authentifizierung und von SAML-Behauptungen (beides in vom Serviceanbieter und Identitätsanbieter initiierten Flows), stellt Salesforce das von der Zertifizierungsstelle signierte oder das selbstsignierte Zertifikat bereit, das unter "Setup" | "Sicherheitssteuerungen" | "Zertifikat- und Schlüsselverwaltung" | "API-Client-Zertifikat" konfiguriert wurde.

Andererseits geben Apex-Callouts möglicherweise an, welches Zertifikat (aus der Liste unter "Setup" | "Sicherheitssteuerungen" | "Zertifikat- und Schlüsselverwaltung") Salesforce dem Zielhost bereitstellt. Sie müssen für das Zertifikat, das Sie steuern, einen allgemeinen Namen angeben, beispielsweise etwas mit einem Stamm in Ihrer eigenen Domäne (z. B. mycompany.com). Es muss nicht ausprobiert und ein Zertifikat in der Domäne salesforce.com abgerufen werden.

Verfügbare SSL-Tools

openssl s_client -showcerts -connect <host>:<port>