Activer l’authentification réciproque du Serveur MID

Aptitudes de Xanadu Now Platform

Release

xanadu

ft:locale

fr-FR

ft:publication_title

Aptitudes de Xanadu Now Platform

ft:clusterId

platcap

bundleId

platcap

workflow

Platform

Activer l’authentification réciproque du Serveur MID

Rversion finale: Xanadu

Mis à jour 1 août 2024

5 minutes de lecture

Configurez le serveur MID pour utiliser un certificat client pour l’authentification à l’instance. Cela évite d’avoir à créer des informations d’identification d’authentification de base dans le magasin de clés pour la configuration du MID Server.

Avant de commencer

Rôle requis : administrateur

Pourquoi et quand exécuter cette tâche

L’authentification réciproque du Serveur MID supprime le nom d’utilisateur et le mot de passe du Serveur MID et fournit un certificat client pour l’authentification. Chaque fois qu’un serveur demande une authentification, ce certificat est envoyé à la place. Pour utiliser l’authentification réciproque, l’authentification basée sur certificat doit être activée. Reportez-vous à la section Configurer l’authentification basée sur certificat pour connaître la procédure.

Si un nouveau Serveur MID est créé avec l’authentification réciproque, il n’ajoute pas automatiquement des options. Un administrateur doit ajouter des options à son enregistrement sur l’instance. Toutefois, les MID Servers existants utilisant l’authentification de base avec des options sont préservés lors du passage à l’authentification réciproque.

Il n’est pas possible de recréer une clé ou de valider un Serveur MID via l’authentification réciproque en tant qu’action d’interface utilisateur sur l’instance.

Les certificats auto-signés ne sont pas pris en charge avec l’authentification réciproque. Les certificats signés en interne ne sont pris en charge que lorsqu’ils sont signés par une autorité de certification privée. Les certificats signés commercialement sont pris en charge lorsqu’ils sont signés par une autorité de certification de confiance commune, telle que celles approuvées par les navigateurs et les systèmes d’exploitation.

Dans la version Quebec, un serveur MID utilisant l’application Analyse de l’intégrité des journaux ne peut pas être configuré avec authentification réciproque.

Procédure

Contactez le support ServiceNow pour demander l’authentification réciproque sur le serveur MID.
Obtenir un certificat et une clé privée auprès d’une autorité de certification respectée.
L’authentification réciproque du serveur MID ne prend en charge que le format de bundle PEM et la clé privée au format PCKS#8. Le lot doit contenir à la fois la clé privée et le certificat. Ouvrez le certificat à l’aide d’un éditeur de texte et vérifiez s’il est au format texte. L’en-tête et le pied de page de la syntaxe PEM sont les suivants :
```
 -----BEGIN CERTIFICATE----- 
```
```
 -----END CERTIFICATE----- 
```
Vous pouvez lire le contenu d’un certificat PEM à l’aide de la commande openssl sous Linux ou Windows comme suit : openssl x509 -in cert.crt -text . La clé privée doit être au format PKCS#8. L’en-tête et le pied de page de la syntaxe PKCS#8 sont les suivants :
```
 -----BEGIN PRIVATE KEY----- 
```
```
 -----END PRIVATE KEY----- 
```
Vous pouvez vérifier le contenu d’une clé privée à l’aide de la commande openssl sous Linux ou Windows comme suit : openssl rsa -in private.key -check
Remarque :
Si votre certificat n’est pas au format PKCS#8, vous obtenez une erreur : - main SEVERE *** ERROR *** Impossible de trouver une clé privée valide
Sur l’instance, accédez à sys_user_certificate.list.
Créez un nouvel enregistrement.

Remarque :
L’enregistrement doit porter le nom du serveur MID et le rôle d’utilisateur doit être Serveur MID.
Joignez le certificat à l’enregistrement.

Remarque :
Assurez-vous que le fichier joint contient uniquement le certificat.
Facultatif : Si le MID Server est en cours d’exécution, arrêtez-le.
Sur l’ordinateur hôte du Serveur MID, exécutez les commandes suivantes pour installer et gérer le certificat et la clé privée.
Exécutez le script à partir de la racine du répertoire de l’agent, car il nécessite les fichiers jar dans le chemin d’accès de la classe. Le répertoire de sécurité est ensuite créé dans le dossier racine de l’agent et est utilisé par Serveur MID. Par exemple : bin/scripts/manage-certificates.bat -m.
Le manage-certificates a les fonctions suivantes et les scripts doivent être exécutés à partir du dossier agent.
Activer l'authentification réciproque

Pour Windows, utilisez la commande : bin/scripts/manage-certificates.bat -m

Pour Linux, utilisez la commande : ./bin/scripts/manage-certificates.sh -m

Supprimer l'authentification réciproque et restaurer l'authentification de base

Pour Windows, utilisez la commande : bin/scripts/manage-certificates.bat -b <myUserName myPassword>

Pour Linux, utilisez la commande : ./bin/scripts/manage-certificates.sh -b <myUserName myPassword>

Ajouter de nouveaux certificats et chaînes de certificats avec un alias spécifié
Pour Windows, utilisez la commande : bin/scripts/manage-certificates.bat -a <alias> <fileName>

Pour Linux, utilisez la commande : ./bin/scripts/manage-certificates.sh -a <alias> <fileName>

L’alias est un nom unique donné au certificat importé. Le MID Server nécessite un certificat personnalisé pour l'authentification réciproque, avec le nom d'alias par défaut defaultsecuritykeypairhandle. Pour configurer la communication MTLS entre le MID Server et l'instance, l'entrée de certificat doit être ajoutée au magasin de clés à l'aide du nom d'alias defaultsecuritykeypairhandle.

Le fileName est un chemin d’accès de fichier qui peut contenir un certificat PEM, ou une chaîne de certificats, et une clé privée PCKS#8. Le chemin d'accès au fichier de groupe PEM peut contenir plusieurs certificats et une seule clé privée. L'en-tête et le pied de page de chaque certificat PEM doivent être les suivants :

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

L'en-tête et le pied de page de la syntaxe PKCS#8 doivent être les suivants :

-----BEGIN PRIVATE KEY-----

-----END PRIVATE KEY-----

Une exception est levée en cas d'échec de la validation de la chaîne de certificats. Si le fichier contient plusieurs certificats, ils doivent être classés : certificat feuille, certificats intermédiaires, puis certificats racines.
Afficher les détails du certificat pour l'alias spécifié

Pour Windows, utilisez la commande : bin/scripts/manage-certificates.bat -g <alias>

Pour Linux, utilisez la commande : ./bin/scripts/manage-certificates.sh -g <alias>

Cette commande affiche des informations telles que le nom unique de l'objet, le nom de l'émetteur et la date d'expiration du certificat.

Répertorier tous les alias existants

Pour Windows, utilisez la commande : bin/scripts/manage-certificates.bat -l

Pour Linux, utilisez la commande : ./bin/scripts/manage-certificates.sh -l

Cette commande répertorie tous les noms d'alias disponibles dans agent_keystore.

Supprimer les certificats à l'aide d'un alias

Pour Windows, utilisez la commande : bin/scripts/manage-certificates.bat -d <alias>

Pour Linux, utilisez la commande : ./bin/scripts/manage-certificates.sh -d <alias>

Cette commande supprime l'alias et l'enregistrement du magasin de clés. L'entrée de l'alias DefaultSecurityKeyPairHandle peut être supprimée à l'aide de cette commande.

Supprimer toutes les entrées du magasin de clés

Pour Windows, utilisez la commande : bin/scripts/manage-certificates.bat -r

Pour Linux, utilisez la commande : ./bin/scripts/manage-certificates.sh -r

Cette commande supprime les entrées existantes du magasin de clés, à l'exception de l'alias DefaultSecurityKeyPairHandle.
Démarrez le MID Server.