Plus d'informations sur tous les certificats SSL pris en charge par Salesforce

Salesforce agissant comme client

Lors de l’envoi de messages sortants, de demandes d’authentification déléguée ou d’appels Apex à des points de terminaison SSL/sécurisés (par exemple, https://myintegration.acme.com), une organisation Salesforce.com (agissant comme client) ne fera confiance qu’à l’hôte cible (qui agira comme serveur) s'il présente un certificat signé par une autorité de certification racine incluse dans la liste affichée dans le lien ci-dessous. En d’autres termes, dans ce scénario, les certificats auto-signés ne peuvent pas être utilisés par l’hôte cible.

REMARQUE :

Salesforce ne fait confiance qu’aux certificats d’une autorité de certification racine, avec quelques exceptions historiques. La politique de confiance des certificats de Salesforce consiste à exiger des chaînes de certificats client et serveur pour inclure tous les certificats intermédiaires qui existent entre le certificat client ou serveur et le certificat racine de la chaîne. Salesforce ne satisfera pas aux demandes d’ajout de certificats intermédiaires à sa liste de confiance. Salesforce fait confiance à de nombreux certificats racine généralement approuvés, mais pas à tous.

Pour consulter la liste des certificats pris en charge, vous pouvez ajouter append /cacerts.jsp à n’importe quelle URL d'instance (seules les instances Winter '19 fonctionneront avec ce point de terminaison) - https://INSTANCE.salesforce.com/cacerts.jsp (remplacez « INSTANCE » par une instance Winter'19 mise à niveau, comme par exemple, https://cs32.salesforce.com/cacerts.jsp )

Lorsque vous utilisez l’authentification mutuelle/SSL bidirectionnelle, Salesforce.com peut présenter un certificat auto-signé à l’hôte cible (qui doit présenter un certificat signé par une autorité de certification à Salesforce), pourvu que ce certificat ait été configuré dans l’hôte cible (installé dans le magasin de clés du serveur cible).

Salesforce agissant comme serveur

Lorsqu'une organisation Salesforce est activée pour l'authentification unique avec SAML, l’organisation joue le rôle du fournisseur de services. Dans ce cas, Salesforce agit comme serveur et le fournisseur d’identité configuré agit comme client et peut présenter un certificat auto-signé.

Authentification client

Lors de l’envoi de messages sortants, de demandes d’authentification déléguée et d’assertions SAML (dans les flux initiés par le fournisseur de services ou le fournisseur d'identité), Salesforce présentera le certificat signé par l’autorité de certification ou le certificat auto-signé configuré sous Configuration | Contrôles de sécurité | Gestion des certificats et des clés | Certificat client API.

De l’autre côté, les appels Apex peuvent spécifier quel certificat (dans la liste sous Configuration | Contrôles de sécurité | Gestion des certificats et des clés) Salesforce présentera à l’hôte cible. Vous devez utiliser un nom usuel pour le certificat que vous contrôlez, par exemple un élément dont la racine se trouve dans votre propre domaine (exemple : mycompany.com). Il n’est pas nécessaire d’essayer d'obtenir un certificat dans le domaine salesforce.com.

Outils SSL disponibles

openssl s_client -showcerts -connect <host>:<port>