Richtlinien für die Zertifikatprüfung des MID-Servers

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 5 Minuten Lesedauer

    • MID-Server verwendet drei Arten von Sicherheitsprüfungen, um externen Datenverkehr zu schützen. Die Sicherheitsprüfungen verwenden TLS/SSL-Zertifikatvalidierung, Hostnamenvalidierung und OCSP-Validierung, um die Sicherheit zu verbessern. Steuern Sie diese Sicherheitsprüfungen mit der Tabelle „Richtlinien für Zertifikatprüfung für MID-Server“.

    Einrichtungsindikator für SicherheitsphaseSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurierenSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurieren

    TLS/SSL-Zertifikatvalidierung

    Die TLS/SSL-Verschlüsselungssicherheit verwendet eine asymmetrische Verschlüsselung, auch als öffentliche Schlüsselverschlüsselung bezeichnet. Diese Verschlüsselung verwendet zwei kryptografische Schlüssel: Den öffentlichen Schlüssel und den privaten Schlüssel. Der öffentliche Schlüssel wird zur Verschlüsselung von Daten verwendet und ist öffentlich sichtbar. Der private Schlüssel wird für die Entschlüsselung von Daten verwendet, und seine Sicherheit ist für die Überprüfung der Authentizität unerlässlich. Weitere Informationen zur Vorbereitung Ihres Netzwerks finden Sie unter MID-Server TLS/SSL-Zertifikatprüfungsrichtlinie Quebec – Upgrade-Informationen [KB0867397]an.

    Bei der TLS/SSL-Zertifikatvalidierung versucht der MID-Server, eine Verbindung zu einem Webserver herzustellen, der mit einem TLS- oder SSL-Zertifikat gesichert ist. Der Webserver sendet eine Kopie seines TLS/SSL-Zertifikats an den MID-Server. Der MID-Server überprüft die Authentizität des Zertifikats und sendet eine Nachricht an den Webserver. Der Webserver antwortet mit einer digital signierten Akzeptanz für die Initiierung einer TLS/SSL-verschlüsselten Sitzung. Danach kann der MID-Server mit der verschlüsselten Kommunikation mit dem Webserver beginnen.

    Validierung des Hostnamens

    Die Überprüfung des Hostnamens ist Teil von HTTPS, das eine Serveridentitätsprüfung umfasst, um sicherzustellen, dass der Client mit dem richtigen Server kommuniziert. Diese Prüfung verhindert das Senden von Informationen an einen Server, nachdem sie von einem Mann in der Mitte des Angriffs weitergeleitet wurden.

    Bei der Prüfung wird überprüft, ob der DnsName Des vom Server gesendeten Zertifikats stimmt mit der URL überein, die für die Anforderung verwendet wurde. Gemäß RFC 6125 sollte die Überprüfung des Hostnamens anhand des subjektAlternativeName-Felds dNSName des Zertifikats durchgeführt werden. In einigen Legacy-Implementierungen wird die Prüfung anhand des Felds „Common Name“ des Zertifikats durchgeführt. Wenn die Namen nicht übereinstimmen, wird die Verbindung beendet.

    Hinweis:
    Die Hostnamenvalidierung leitet den Hostnamen aus dem validierten Zertifikat ab, das vom Server vorgelegt wird. Daher ist die TLS-Zertifikatvalidierung eine Voraussetzung für die Validierung des Hostnamens.

    Online Certificate Status Protocol (OCSP)

    OCSP umfasst die Kontaktaufnahme mit dem Remote-Zertifizierungsstellenserver und die Überprüfung des Zertifikats, bevor der MID-Server weiter mit dem Zielserver kommuniziert. Gefährdete Zertifikate können eine Sicherheitslücke sein, insbesondere wenn diese Zertifikate die Möglichkeit haben, andere Zertifikate zu signieren. Wenn Zertifikate beschädigt oder gefälscht wurden, kann eine Zertifizierungsstelle einen Client informieren, welche Zertifikate ungültig sind und nicht verwendet werden sollen.

    Ein OCSP-Responder (ein Server, der normalerweise vom Zertifikataussteller ausgeführt wird) gibt eine signierte Antwort zurück, dass das Zertifikat „gut“, „widerrufen“ oder „unbekannt“ ist. Wenn die Anforderung nicht verarbeitet werden kann, wird möglicherweise ein Fehlercode zurückgegeben.

    Der Aussteller des Zertifikats kann eine andere Berechtigung als OCSP-Beantworter delegieren. Dadurch wird eine Kette von Zertifikaten erstellt, die verifiziert werden müssen. Das Zertifikat des Beantworters muss vom Aussteller des betreffenden Zertifikats ausgestellt werden. Das Zertifikat des Beantworters muss eine bestimmte Erweiterung enthalten, die es als OCSP-Signaturberechtigung markiert.

    Hinweis:
    OCSP-Prüfungen sind sekundäre HTTP-Aufrufe, die an einen OCSP-Responder vorgenommen werden. Der primäre Aufruf kann die Verbindung basierend auf der Antwort des OCSP-Responders beenden.

    MID-Server-Sicherheitsrichtlinie

    MID-Server-Sicherheitsrichtlinien steuern den gesamten HTTPS-Datenverkehr, der vom MID-Server stammt. Dies umfasst HTTPS-Verbindungen vom MID-Server zu einem Internetendpunkt, ServiceNow-URLs, Intranet-Endpunkte sowie Cloud-Endpunkte.

    Richtlinien Für Zertifikatprüfung

    Diese Verbindungen können weiter in 4 Sicherheitsrichtlinien klassifiziert werden:

    ServiceNow-Endpunktrichtlinie
    Diese Richtlinie ist der Systemstandard ausschließlich für ServiceNow-URLs. Auf dem MID-Server config.xml , Es gibt Bootstrap-Eigenschaften, die nur zum Herstellen der ersten Verbindung mit der Instanz verwendet werden und mit der Richtlinie „System_default“ aktualisiert werden.
    Internetrichtlinie
    Diese Richtlinien decken alle HTTPS-Verbindungen ab, die vom MID-Server zu einem beliebigen Endpunkt im Internet initiiert wurden.
    Intranet-Richtlinie
    Diese Richtlinien decken die reservierten IP-Subnetze ab, z. B. selbst gehostete Netzwerke.
    Überschriebene Richtlinie
    Sie können bestimmte Endpunkte oder URLs mit dieser Richtliniendefinition überschreiben. Überschriebene Richtlinien haben während des Vorgangs die höchste Rangfolge.

    Beide Tabellen können bearbeitet werden, um IP-Bereiche ein- oder auszuschließen und zu steuern, welche Art von Zertifikatvalidierungsprüfungen durchgeführt werden müssen. Aktivieren Sie alle Zertifikatvalidierungsprüfungen, um die Sicherheit zu maximieren. In der Quebec-Version sind alle Richtlinien und Prüfungen standardmäßig für neue Installationen aktiviert.

    Für Upgrades von Kunden sind die Zertifizierungsvalidierungsprüfungen in der Intranet-Richtlinie standardmäßig deaktiviert. Um die Sicherheit zu verbessern, konfigurieren und aktivieren Sie die Richtlinie für Endpunkte im internen Netzwerk.
    Hinweis:
    Interne Endpunkte oder URLs müssen ein gültiges VON CA signiertes Zertifikat für eine erfolgreiche Verbindung besitzen.

    Importieren Sie für Endpunkte, die ein selbstsigniertes Zertifikat hosten, das Zertifikat entweder in den MID-Server-Truststore, oder deaktivieren Sie die Richtlinienprüfungen, die diesen Host validieren. Weitere Informationen zum Hinzufügen von Zertifikaten finden Sie unter Fügen Sie SSL-Zertifikate für den MID-Server hinzu.

    Wechseln Sie nach dem Upgrade auf Quebec zur Tabelle „Richtlinien für Zertifikatprüfung“, und nehmen Sie bei Bedarf Änderungen an der Richtlinienkonfiguration vor. Sobald der MID-Server hochgefahren und eine Verbindung zur Instanz hergestellt wurde, beginnt jede nachfolgende HTTPS-Verbindung, die vom MID-Server stammt, mit der Anwendung dieser Zertifikatprüfungen zur Laufzeit. Unsichere Verbindungen werden mit entsprechenden Fehlermeldungen unterbrochen.

    Verwenden Sie Die Instanzsicherheitsrichtlinie

    Der Konfigurationsparameter des MID-Servers mid.ssl.use.instance.security.policy Steuert, ob der MID-Server seine Bootstrap-Parameter anstelle der Sicherheitsrichtlinie aus der Instanz verwendet. Standardmäßig mid.ssl.use.instance.security.policy Ist in auf „falsch“ festgelegt config.xml Daher werden die Bootstrap-Richtlinien nicht von den Instanzen überschrieben

    Diese Standardeinstellung kann einige Probleme beim Setup des MID-Servers verhindern. Wenn der Host beispielsweise den OCSP-Responder nicht erreichen kann, wird eine neue MID-Server-Installation nicht durch die Richtlinie einer Instanz unterbrochen, die eine OCSP-Verbindung erfordert.

    Der Konfigurationsparameter mid.ssl.use.instance.security.policy Kann für jeden MID-Server festgelegt werden. Bei „wahr“ synchronisiert der MID-Server alle Richtlinien mit der Instanz, und die Bootstrap-Konfigurationsparameter werden von überschrieben *.servicenow.com Richtlinie für die Instanz Mid_cert_Check_Policy Tabelle. Die endgültigen Richtlinien aktualisieren die Richtlinienzuordnung im MID-Server-Arbeitsspeicher sowie im config.xml .

    Die Standardparameter in config.xml Sind:
    • <parameter name="mid.ssl.bootstrap.default.check_cert_hostname" value="true"/>
    • <parameter name="mid.ssl.bootstrap.default.check_cert_chain" value="true"/>
    • <parameter name="mid.ssl.bootstrap.default.check_cert_revocation" value="false"/>
    • <parameter name="mid.ssl.use.instance.security.policy" value="false"/>

    Selbst gehostete oder lokale Instanzen müssen den folgenden Parameter für hinzufügen config.xml : <parameter name="mid.ssl.bootstrap.default.target_endpoint" value="FQDN_OF_THE_INSTANCE"/>