Aktivieren Sie die gegenseitige Authentifizierung für den MID-Server

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer

    • Konfigurieren Sie den MID-Server so, dass ein Client-Zertifikat für die Authentifizierung bei der Instanz verwendet wird. Dadurch müssen Sie keine Anmeldeinformationen für die Standardauthentifizierung im Schlüsselspeicher für die Konfiguration des MID-Servers erstellen.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Richten Sie den Indikator für die Sicherheitsphase einSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurierenSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurieren

    Warum und wann dieser Vorgang ausgeführt wird

    Bei der gegenseitigen Authentifizierung für den MID-Server werden Anwendername und Passwort des MID-Servers entfernt und ein Clientzertifikat für die Authentifizierung bereitgestellt. Immer wenn ein Server eine Authentifizierung anfordert, wird stattdessen dieses Zertifikat gesendet. Zur Verwendung der gegenseitigen Authentifizierung muss die zertifikatbasierte Authentifizierung aktiviert sein. Das Verfahren finden Sie unter Zertifikatbasierte Authentifizierung einrichten.

    Wenn ein neuer MID-Server mit gegenseitiger Authentifizierung erstellt wird, werden Fähigkeiten nicht automatisch hinzugefügt. Ein Administrator muss seinem Datensatz in der Instanz Fähigkeiten hinzufügen. Vorhandene MID-Server, die die Standardauthentifizierung mit -Funktionen verwenden, bleiben jedoch beim Wechsel zur gegenseitigen Authentifizierung erhalten.

    Ein MID-Server, der gegenseitige Authentifizierung verwendet, kann nicht als UI-Aktion in der Instanz neu eingegeben oder validiert werden.

    Selbstsignierte Zertifikate werden bei der gegenseitigen Authentifizierung nicht unterstützt. Intern signierte Zertifikate werden nur unterstützt, wenn sie von einer privaten Zertifizierungsstelle signiert wurden. Kommerziell signierte Zertifikate werden unterstützt, wenn sie von einer allgemein vertrauenswürdigen Zertifizierungsstelle signiert sind, z. B. von Browsern und Betriebssystemen, denen Sie vertrauen.

    Im Quebec-Release kann ein MID-Server, der die Anwendung Health Log Analytics verwendet, nicht mit gegenseitiger Authentifizierung konfiguriert werden.

    Prozedur

    1. Wenden Sie sich an den Support von ServiceNow, um die gegenseitige Authentifizierung auf dem MID-Server anzufordern.
    2. Zertifikat und privaten Schlüssel von einer angesehenen Zertifizierungsstelle beziehen.

      Die gegenseitige Authentifizierung für den MID-Server unterstützt nur das PEM-Paketformat und private Schlüssel im PCKS#8-Format. Das Paket muss sowohl den privaten Schlüssel als auch das Zertifikat enthalten. Öffnen Sie das Zertifikat mit einem Texteditor, und prüfen Sie, ob es im Textformat vorliegt. Der Header und Footer der PEM-Syntax lauten wie folgt:

       -----BEGIN CERTIFICATE----- 
       -----END CERTIFICATE-----
      Das Paket enthält die richtige Formatierung sowie den privaten Schlüssel und das Zertifikat.

      Sie können den Inhalt eines PEM-Zertifikats mit dem Befehl openedsl unter Linux oder Windows wie folgt lesen: openedsl x509 -in cert.crt -text . Der private Schlüssel muss im PKCS#8-Format vorliegen. Der Header und Footer der PKCS#8-Syntax lautet wie folgt:

       -----BEGIN PRIVATE KEY----- 
       -----END PRIVATE KEY-----

      Sie können den Inhalt eines privaten Schlüssels mit dem Befehl openedsl unter Linux oder Windows wie folgt überprüfen: openedsl rsa -in private.key -check

      Hinweis:
      Wenn Ihr Zertifikat nicht im PKCS#8-Format vorliegt, erhalten Sie einen Fehler: - main SCHWERWIEGEND *** FEHLER *** Gültiger privater Schlüssel konnte nicht gefunden werden
    3. Navigieren Sie in der -Instanz zu sys_user_certificate.list.
    4. Erstellen Sie einen neuen Datensatz.
      Hinweis:
      Der -Datensatz muss den Namen des MID-Servers aufweisen, und die Anwenderrolle muss MID-Serverlauten.
    5. Hängen Sie das Zertifikat an den Datensatz an.
      Der Anhang befindet sich in der oberen Ecke des Datensatzes.
      Hinweis:
      Stellen Sie sicher, dass die angehängte Datei nur das Zertifikat enthält.
    6. Wahlweise: Wenn der MID-Server ausgeführt wird, halten Sie ihn an.
    7. Führen Sie auf dem Hostcomputer des MID-Servers die folgenden Befehle aus, um das Zertifikat und den privaten Schlüssel zu installieren und zu verwalten.

      Führen Sie das Skript aus dem Stammverzeichnis des Agent-Verzeichnisses aus, da es die JAR-Dateien im Klassenpfad erfordert. Das Sicherheitsverzeichnis wird dann im Stammordner des Agenten erstellt und vom MID-Server verwendet. Beispiel: bin/scripts/manage-certificates.bat -m.

      manage-certificates hat die folgenden Funktionen, und die Skripts müssen im Agent-Ordner ausgeführt werden.
      Gegenseitige Authentifizierung aktivieren​

      Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -m.

      Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -m.

      Gegenseitige Authentifizierung entfernen und Standardauthentifizierung wiederherstellen

      Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -b <myUserName myPassword>.

      Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -b <myUserName myPassword>.

      Neue Zertifikate und Zertifikatketten mit einem angegebenen Alias hinzufügen​

      Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -a <alias> <fileName>.

      Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -a <alias> <fileName>.

      Der Alias ist ein eindeutiger Name für das zu importierende Zertifikat. Der MID Server erfordert ein benutzerdefiniertes Zertifikat für die gegenseitige Authentifizierung mit dem Standardaliasnamen defaultsecuritykeypairhandle. Um die MTLS-Kommunikation zwischen dem MID Server und der Instanz zu konfigurieren, muss der Zertifikateintrag dem Schlüsselspeicher mit dem Aliasnamen defaultsecuritykeypairhandle hinzugefügt werden.

      Der Dateiname ist ein Dateipfad, der ein PEM-Zertifikat oder eine Zertifikatkette und einen privaten PCKS#8-Schlüssel enthalten kann. Der Dateipfad zum PEM-Bundle kann mehrere Zertifikate und einen einzelnen privaten Schlüssel enthalten. Die Kopf- und Fußzeile jedes PEM-Zertifikats muss wie folgt lauten:

       -----BEGIN CERTIFICATE----- 
       -----END CERTIFICATE-----

      Die Kopf- und Fußzeile der PKCS#8-Syntax müssen wie folgt lauten:

       -----BEGIN PRIVATE KEY----- 
       -----END PRIVATE KEY-----

      Eine Ausnahme wird ausgelöst, wenn die Validierung der Zertifikatkette fehlschlägt. Wenn die Datei mehrere Zertifikate enthält, müssen diese entsprechend geordnet sein: untergeordnetes Zertifikat, Zwischenzertifikate, dann Stammzertifikate.

      Zertifikatdetails für den angegebenen Alias anzeigen

      Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -g <alias>.

      Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -g <alias> .

      Dieser Befehl zeigt Informationen wie den eindeutigen Antragstellernamen, den Ausstellernamen und das Ablaufdatum aus dem Zertifikat an.

      Alle vorhandenen Aliasse auflisten

      Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -l.

      Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -l.

      Dieser Befehl listet alle Aliasnamen auf, die in agent_keystore verfügbar sind.

      Zertifikate mit einem Alias löschen​

      Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -d <alias>.

      Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -d <alias>.

      Dieser Befehl löscht den Alias und den Datensatz aus dem Schlüsselspeicher. Der Eintrag für Alias DefaultSecurityKeyPairHandle kann mit diesem Befehl gelöscht werden.

      Alle Einträge aus dem Schlüsselspeicher entfernen

      Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -r ​

      Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -r.

      Dieser Befehl löscht die vorhandenen Einträge aus dem Schlüsselspeicher, mit Ausnahme von Alias DefaultSecurityKeyPairHandle. ​

    8. Starten Sie den MID-Server.