Accédez à Paramètres de sécurité > Gestion des certificats mTLS de webhook
Dernière mise à jour le
28 avr. 2026
Alerte :
Cet article contient des informations sur les versions préliminaires. Les dates de publication, les fonctionnalités et d’autres informations peuvent être modifiées sans préavis.
Sécurisez la diffusion des webhooks en utilisant le protocole TLS mutuel avec une gestion flexible des clés privées.
Le mTLS (TLS mutuel) des webhooks garantit qu’Adobe Acrobat Sign et votre point d’entrée s’authentifient mutuellement lors de la négociation TLS. Les administrateurs peuvent charger leur propre clé privée et leur propre certificat ou laisser Acrobat Sign générer et stocker la clé privée. Cette flexibilité réduit les exigences de gestion des clés privées tout en maintenant la compatibilité avec le comportement existant des webhooks.
Cette fonctionnalité est disponible pour les comptes Acrobat Sign Solutions et Acrobat Sign pour l’administration.
Les certificats peuvent être configurés au niveau des comptes et des groupes.
- Les paramètres au niveau du groupe remplacent les paramètres au niveau du compte.
Fonctionnement du mTLS des webhooks
Le mTLS des webhooks utilise un certificat client et une clé privée pour authentifier Acrobat Sign auprès de votre point d’entrée de webhook lors de la connexion.
- Acrobat Sign présente un certificat lors de la négociation TLS.
- Votre point d’entrée valide le certificat avant d’accepter la connexion.
- Les payloads, événements et comportements de diffusion des webhooks restent inchangés.
Choisir une méthode de gestion des clés
Vous devez sélectionner la façon dont la clé privée est créée et gérée.
Charger votre propre clé privée et certificat
- Générez la clé privée et le certificat en externe.
- Chargez sous forme de fichier PKCS#12 (.p12 ou .pfx).
- Vous conservez le contrôle total sur la génération et le cycle de vie des clés.
Utilisez cette méthode si votre organisation exige une gestion externe des clés.
Laisser Acrobat Sign générer la clé privée
- Acrobat Sign génère la clé privée et une demande de signature de certificat (CSR).
- La clé privée ne quitte jamais l’infrastructure Adobe.
- Soumettez le CSR à votre autorité de certification.
- Chargez le certificat signé (format PEM).
Utilisez cette méthode pour réduire l’exposition des clés privées et simplifier la gestion des clés.
Principales différences
| Fonctionnalité | Chargement de votre clé | Acrobat Sign génère la clé |
|---|---|---|
| Emplacement de la clé privée | Gérée par le client et stockée dans Acrobat Sign | Généré et stocké uniquement dans Acrobat Sign |
| Format de certificat | PKCS#12 (.p12 / .pfx) | PEM (.pem / .crt / .cer) |
| Workflow | Chargez la clé et le certificat ensemble | Générez une CSR, puis chargez le certificat signé |
| Exposition de la clé | Clé gérée en externe avant le chargement | La clé ne quitte jamais l’infrastructure Adobe |
| Posture de sécurité | Standard | Plus forte |
Quand utiliser chaque méthode :
- Utilisez la méthode de chargement si votre organisation exige un contrôle externe des clés.
- Utilisez la méthode générée par Acrobat Sign lorsque vous souhaitez minimiser la manipulation des clés privées et améliorer la sécurité.
Configurer le mTLS du webhook
Sélectionner une méthode de gestion des clés
-
-
Sélectionnez votre méthode de gestion des clés préférée :
- Charger le certificat client
- Générer une CSR
-
Enregistrez la configuration.
Si vous choisissez de charger votre propre certificat :
-
Indiquez un mot de passe pour le certificat.
-
Chargez le certificat (.p12 ou .pfx).
Doit inclure les deux :- Clé privée
- Certificat
-
Enregistrez la configuration.
Après l’enregistrement, le certificat devient actif immédiatement pour les diffusions de webhook.
Si vous choisissez de laisser Acrobat Sign générer la clé privée :
-
Saisissez les détails du certificat :
- Nom du certificat (obligatoire)
- Société
- Service
- Emplacement
- État/Province
- Pays (symbole ISO à deux lettres)
- E-mail (format d’e-mail)
- Noms SAN-DNS (Facultatif, saisissez un nom par ligne)
- Valeurs SAN - E-mail (Facultatif, format d’e-mail, saisissez une valeur par ligne)
-
Sélectionnez Générer une CSR.
-
Copiez le CSR généré.
-
Soumettez le CSR à votre autorité de certification et obtenez un certificat signé.
-
Enregistrez la configuration.
La CSR n’est enregistrée qu’une fois que vous avez sélectionné Enregistrer. Si vous quittez la page, le CSR est perdu.
Exigences relatives aux certificats
PKCS#12 (méthode de chargement)
- Format : .p12 ou .pfx
- Doit inclure la clé privée et le certificat
- Nécessite un mot de passe
CSR (méthode générée par Acrobat Sign)
- Format : PEM (.pem, .crt, .cer)
- Doit inclure l’utilisation de clientAuth
- Doit correspondre au CSR généré
- Doit être dans sa période de validité
- Incluez les certificats intermédiaires si nécessaire
Ce qu’il faut savoir
- Si le certificat expire, les diffusions de webhook échouent jusqu’à ce qu’un certificat valide soit chargé.
- Acrobat Sign poursuit les tentatives en fonction de la politique de tentative du webhook.
- Le passage d’une méthode de gestion des clés à une autre ne supprime pas les certificats existants.
- La CSR et la clé privée ne sont enregistrées qu’après avoir sélectionné Enregistrer. Quitter la page les supprime.
- La configuration au niveau des groupes est prise en charge.
- Une nouvelle CSR n’est requise que lorsque les détails du sujet du certificat changent.
Recevez de l’aide plus rapidement et plus facilement
Nouvel utilisateur ?