Politiques de vérification des certificats de Serveur MID

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 6 minutes de lecture

    • MID Server utilise trois types de contrôles de sécurité pour sécuriser le trafic externe. Les contrôles de sécurité utilisent la validation des certificats TLS/SSL, la validation du nom d’hôte et la validation OCSP pour améliorer la sécurité. Contrôlez ces contrôles de sécurité avec la table des politiques de vérification des certificats de Serveur MID.

    Indicateur de configuration pour la phase de sécuritéAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauTélécharger et installer le MID Server sur un hôte Linux ou WindowsConfigurer votre MID ServerConfigurer la sécurité du MID ServerAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauTélécharger et installer le MID Server sur un hôte Linux ou WindowsConfigurer votre MID ServerConfigurer la sécurité du MID Server

    Validation du certificat TLS/SSL

    La sécurité de chiffrement TLS/SSL utilise un chiffrement asymétrique, également appelé chiffrement à clé publique. Ce chiffrement utilise deux clés cryptographiques : la clé publique et la clé privée. La clé publique est utilisée pour le chiffrement des données et est visible publiquement. La clé privée est utilisée pour le déchiffrement des données et sa sécurité est essentielle pour en vérifier l’authenticité. Pour plus d’informations sur la préparation de votre réseau, consultez Serveur MID Politique de vérification des certificats TLS/SSL Informations sur la mise à niveau Quebec [KB0867397].

    Lors de la validation de certificat TLS/SSL, le MID Server tente de se connecter à un serveur Web sécurisé par un certificat TLS ou SSL. Le serveur Web envoie une copie de son certificat TLS/SSL au MID Server. Le MID Server vérifie l’authenticité du certificat et envoie un message au serveur Web. Le serveur Web répond par une acceptation signée numériquement pour le lancement d’une session cryptée TLS/SSL. Après quoi, le MID Server peut commencer une communication cryptée avec le serveur Web.

    Validation du nom d’hôte

    La vérification du nom d’hôte est une partie du protocole HTTPS qui implique une vérification de l’identité du serveur pour s’assurer que le client parle au bon serveur. Cette vérification empêche d’envoyer des informations à un serveur après avoir été redirigées par une attaque de l’homme du milieu.

    La vérification consiste à vérifier que le dnsName du certificat envoyé par le serveur correspond à l’URL utilisée pour effectuer la demande. Selon la RFC 6125, la vérification du nom d’hôte doit être effectuée par rapport au champ dNSName subjectAlternativeName du certificat. Dans certaines implémentations héritées, la vérification est effectuée par rapport au champ commonName du certificat. Si les noms ne correspondent pas, la connexion est interrompue.

    Remarque :
    La validation du nom d’hôte dérive le nom d’hôte du certificat validé présenté par le serveur. Par conséquent, la validation du certificat TLS est une condition préalable à la validation du nom d’hôte.

    OCSP (Online Certificate Status Protocol)

    OCSP implique de contacter le serveur de l’autorité de certification distante et de vérifier le certificat avant que le MID Server ne communique davantage avec le serveur cible. Les certificats compromis peuvent constituer une faille de sécurité, en particulier s’ils ont la capacité de signer d’autres certificats. Si les certificats ont été cassés ou falsifiés, une autorité de certification peut informer un client des certificats qui ne sont pas valides et ne doivent pas être utilisés.

    Un répondeur OCSP (un serveur généralement géré par l’émetteur du certificat) renvoie une réponse signée indiquant que le certificat est « bon », « révoqué » ou « inconnu ». S’il ne peut pas traiter la demande, il peut renvoyer un code d’erreur.

    L’émetteur du certificat peut déléguer un autre pouvoir à titre d’intervenant du PCSO. Cela crée une chaîne de certificats qui doivent être vérifiés. Le certificat de l’intervenant doit être délivré par l’émetteur du certificat en question. Le certificat de l’intervenant doit inclure une certaine extension qui le marque comme un pouvoir de signature du PCCO.

    Remarque :
    Les vérifications OCSP sont des appels HTTP secondaires effectués à un répondeur OCSP. L’appel principal peut interrompre la connexion en fonction de la réponse de l’intervenant OCSP.

    Politique de sécurité du MID Server

    Les politiques de sécurité du serveur MID contrôlent tout le trafic HTTPS provenant du serveur MID. Cela inclut les connexions HTTPS du serveur MID à un point de terminaison Internet, des URL ServiceNow, des points de terminaison intranet, ainsi que des points de terminaison dans le cloud.

    Politiques de vérification des certificats

    Ces connexions peuvent être classées en 4 politiques de sécurité :

    Politique de point de terminaison ServiceNow
    Cette politique est la valeur système par défaut exclusive pour les URL ServiceNow. Sur la config.xml Serveur MID, il existe des propriétés d’amorce qui ne sont utilisées que pour établir la première connexion à l’instance et qui seront mises à jour avec la politique system_default.
    Politique d’Internet
    Ces politiques couvrent toutes les connexions HTTPS initiées à partir du Serveur MID vers n’importe quel point de terminaison sur Internet.
    Politique intranet
    Ces politiques couvrent les sous-réseaux IP réservés, tels que les réseaux auto-hébergés.
    Politique remplacée
    Vous pouvez remplacer des points de terminaison ou des URL spécifiques par cette définition de stratégie. Les politiques remplacées prennent l’ordre de priorité le plus élevé au cours de l’exploitation.

    Les deux tables sont modifiables pour inclure ou exclure des plages d’adresses IP et contrôler le type de vérifications de validation de certificat à effectuer. Activez tous les contrôles de validation de certificat pour maximiser la sécurité. Toutes les politiques et vérifications de la version Quebec sont activées par défaut pour les nouvelles installations.

    Pour les clients de mise à niveau, les contrôles de validation de certificat sont désactivés par défaut dans la politique intranet. Pour améliorer la sécurité, configurez et activez la politique pour les points de terminaison du réseau interne.
    Remarque :
    Les points de terminaison ou URL internes doivent posséder un certificat valide signé par l’autorité de certification pour une connexion réussie.

    Pour les points de terminaison qui hébergent un certificat auto-signé, importez le certificat dans le magasin de confiance du serveur MID ou désactivez les vérifications de politique qui valident cet hôte. Pour plus d’informations sur l’ajout de certificats, reportez-vous à la section Ajouter des certificats SSL pour le serveur MID.

    Après la mise à niveau vers Quebec, accédez à la table des politiques de vérification des certificats et apportez des modifications à la configuration des politiques si nécessaire. Une fois que le MID Server démarre et se connecte à l’instance, toute connexion HTTPS ultérieure provenant du MID Server commence à appliquer ces vérifications de certificat lors de l’exécution. Les connexions non sécurisées sont interrompues avec des messages d’erreur appropriés.

    Utiliser la politique de sécurité de l’instance

    Le paramètre de configuration du serveur MID mid.ssl.use.instance.security.policy détermine si le serveur MID utilise ses paramètres d’amorce plutôt que la politique de sécurité de l’instance. Par défaut, mid.ssl.use.instance.security.policy est défini sur faux dans le config.xml afin que les politiques d’amorce ne soient pas remplacées par celles de l’instance.

    Ce paramètre par défaut peut éviter certains problèmes lors de la configuration du Serveur MID. Par exemple, si l’hôte n’est pas en mesure de joindre le répondeur OCSP, une nouvelle installation de Serveur MID n’est pas interrompue par la politique d’une instance exigeant une connexion OCSP.

    Le paramètre de configuration mid.ssl.use.instance.security.policy peut être défini pour chaque Serveur MID. Lorsqu’elle est définie sur vrai, le serveur MID synchronise toutes les politiques avec l’instance et les paramètres de configuration d’amorce sont remplacés par la politique *.servicenow.com dans la table de mid_cert_check_policy d’instance. Les politiques finales mettent à jour la carte de politiques dans la mémoire du Serveur MID, ainsi que les config.xml.

    Les paramètres par défaut du config.xml sont les suivants :
    • <parameter name="mid.ssl.bootstrap.default.check_cert_hostname » value="true"/>
    • <parameter name="mid.ssl.bootstrap.default.check_cert_chain » value="true"/>
    • <parameter name="mid.ssl.bootstrap.default.check_cert_revocation » value="false"/>
    • <parameter name="mid.ssl.use.instance.security.policy » value="false"/>

    Les instances auto-hébergées ou sur site doivent ajouter le paramètre suivant pour l’config.xml : < parameter name= »mid.ssl.bootstrap.default.target_endpoint » value="FQDN_OF_THE_INSTANCE"/>