Políticas de verificação de certificação do MID Server

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 6 min. de leitura

    • O MID Server usa três tipos de verificações de segurança para proteger o tráfego externo. As verificações de segurança usam validação de certificado TLS/SSL, validação de nome de host e validação de OCSP para melhorar a segurança. Controle essas verificações de segurança com a tabela de políticas de verificação de certificados do MID Server.

    Configurar indicador para fase de segurançaGarantir que o MID Server pode se conectar a elementos dentro e fora da redeBaixar e instalar o MID Server em um host Linux ou WindowsConfigurar o seu MID ServerConfigurar a segurança do MID ServerGarantir que o MID Server pode se conectar a elementos dentro e fora da redeBaixar e instalar o MID Server em um host Linux ou WindowsConfigurar o seu MID ServerConfigurar a segurança do MID Server

    Validação do certificado TLS/SSL

    A segurança de criptografia TLS/SSL usa criptografia assimétrica, também chamada de criptografia de chave pública. Esta criptografia usa duas chaves criptográficas: a chave pública e a chave privada. A chave pública é usada para criptografia de dados e é visível publicamente. A chave privada é usada para descriptografar dados e sua segurança é essencial para verificar a autenticidade. Para obter mais informações sobre como preparar sua rede, consulte MID Server Política de verificação de certificado TLS/SSL Informações de upgrade de Quebec [KB0867397].

    Na validação do certificado TLS/SSL, o MID Server tenta se conectar a um servidor Web protegido por um certificado TLS ou SSL. O servidor Web envia uma cópia do certificado TLS/SSL para o MID Server. O MID Server verifica a autenticidade do certificado e envia uma mensagem para o servidor da Web. O servidor da Web responde com uma aceitação assinada digitalmente para iniciar uma sessão criptografada por TLS/SSL. Depois disso, o MID Server pode iniciar a comunicação criptografada com o servidor da Web.

    Validação de nome de host

    A verificação do nome do host é uma parte do HTTPS que envolve uma verificação de identidade do servidor para garantir que o cliente está se comunicando com o servidor correto. Esta verificação evita o envio de informações para um servidor depois de ser redirecionado por um ataque intermediário.

    A verificação envolve verificar se o dnsName do certificado enviado pelo servidor corresponde ao URL usado para fazer a solicitação. De acordo com a RFC 6125, a verificação do nome do host deve ser feita em relação ao campo dNSName do subjectAlternativeName do certificado. Em algumas implementações legadas, a verificação é feita no campo commonName do certificado. Se os nomes não corresponderem, a conexão será encerrada.

    Nota:
    A validação do nome do host deriva o nome do host do certificado validado apresentado pelo servidor. Portanto, a validação do certificado TLS é um pré-requisito para a validação do nome do host.

    Protocolo de status de certificado online (OCSP)

    O OCSP envolve entrar em contato com o servidor de autoridade de certificação remoto e verificar o certificado antes que o MID Server se comunique com o servidor de destino. Certificados comprometidos podem ser uma vulnerabilidade de segurança, especialmente se esses certificados tiverem a capacidade de assinar outros certificados. Se os certificados forem violados ou forjados, uma autoridade de certificação poderá informar ao cliente quais certificados são inválidos e não devem ser usados.

    Um respondente do OCSP (um servidor normalmente executado pelo emissor do certificado) retorna uma resposta assinada de que o certificado é "bom", "revogado" ou "desconhecido". Se não puder processar a solicitação, ele poderá retornar um código de erro.

    O emissor do certificado pode delegar outra autoridade para ser o respondente do OCSP. Isso cria uma cadeia de certificados que deve ser verificada. O certificado do respondente deve ser emitido pelo emissor do certificado em questão. O certificado do respondente deve incluir uma determinada extensão que o marque como uma autoridade de assinatura OCSP.

    Nota:
    As verificações de OCSP são chamadas HTTP secundárias feitas para um respondente do OCSP. A chamada primária pode descontinuar a conexão com base na resposta do respondente do OCSP.

    Política de segurança do MID Server

    As políticas de segurança do MID Server controlam todo o tráfego HTTPS originado do MID Server. Isso inclui conexões HTTPS do MID Server para um endpoint de Internet, URLs da ServiceNow, endpoints de intranet, bem como endpoints de nuvem.

    Políticas de verificação de certificado

    Essas conexões podem ser classificadas em quatro políticas de segurança:

    Política de endpoint da ServiceNow
    Esta política é o padrão do sistema exclusivamente para URLs da ServiceNow. No MID Server config.xml, há propriedades de inicialização que são usadas somente para fazer a primeira conexão com a instância e serão atualizadas com a política system_default.
    Política de internet
    Essas políticas cobrem todas as conexões HTTPS iniciadas do MID Server para qualquer endpoint na Internet.
    Política de intranet
    Essas políticas cobrem as sub-redes IP reservadas, como redes auto-hospedadas.
    Política substituída
    Você pode substituir endpoints ou URLs específicos por esta definição de política. As políticas substituídas assumem a ordem mais alta de precedência durante a operação.

    Ambas as tabelas são editáveis para incluir ou excluir intervalos de IP, bem como controlar que tipo de verificações de validação de certificado precisa ser feito. Habilite todas as verificações de validação de certificado para maximizar a segurança. A versão Quebec tem todas as políticas e verificações ativadas por padrão para novas instalações.

    Para clientes que estão atualizando, a política de intranet tem as verificações de validação de certificado desabilitadas por padrão. Para melhorar a segurança, configure e habilite a política para endpoints na rede interna.
    Nota:
    Endpoints internos ou URLs precisam ter um certificado válido assinado por uma CA para uma conexão bem-sucedida.

    Para endpoints que hospedam um certificado autoassinado, importe o certificado para o armazenamento confiável do MID Server ou desative as verificações de política que validam esse host. Para obter mais informações sobre como adicionar certificados, consulte Adicionar certificados SSL para o MID Server.

    Depois de atualizar para Quebec, vá para a tabela de políticas de verificação de certificado e faça mudanças na configuração da política, se necessário. Depois que o MID Server for inicializado e se conectar à instância, qualquer conexão HTTPS subsequente originada do MID Server começará a aplicar essas verificações de certificado no tempo de execução. As conexões inseguras são interrompidas com mensagens de erro apropriadas.

    Usar Política de segurança de instância

    O parâmetro de configuração do MID Server mid.ssl.use.instance.security.policy controla se o MID Server usa seus parâmetros de inicialização em vez da política de segurança da instância. Por padrão, mid.ssl.use.instance.security.policy é definido como falso no config.xml para que as políticas de inicialização não sejam substituídas pela instância.

    Esta configuração padrão pode evitar alguns problemas durante a configuração do MID Server. Por exemplo, se o host não conseguir acessar o respondente do OCSP, uma nova instalação do MID Server não será interrompida por uma política de instância de exigir conexão do OCSP.

    O parâmetro de configuração mid.ssl.use.instance.security.policy pode ser definido para cada MID Server. Quando definido como verdadeiro, o MID Server sincroniza todas as políticas com a instância e os parâmetros de configuração de inicialização são substituídos pela política * .servicenow.com/br/ na tabela mid_cert_check_policy da instância. As políticas finais atualizam o mapa de políticas na memória do MID Server e também no config.xml.

    Os parâmetros padrão no config.xml são:
    • <parameter name="mid.ssl.bootstrap.default.check_cert_hostname" value="true"/>
    • <parameter name="mid.ssl.bootstrap.default.check_cert_chain" value="true"/>
    • <parameter name="mid.ssl.bootstrap.default.check_cert_revocation" value="false"/>
    • <parameter name="mid.ssl.use.instance.security.policy" value="false"/>

    As instâncias auto-hospedadas ou no local devem adicionar o seguinte parâmetro ao config.xml: <parameter name="mid.ssl.bootstrap.default.target_endpoint" value="FQDN_OF_THE_INSTANCE"/>