MID 서버 상호 인증 사용

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 7분

    • 인스턴스에 대한 인증에 클라이언트 인증서를 사용하도록 MID 서버를 구성합니다. 이렇게 하면 MID 서버 구성을 위해 키 스토어에 기본 인증 자격 증명을 생성할 필요가 없습니다.

    시작하기 전에

    필요한 역할: 관리자

    보안 단계에 대한 설정 표시기MID 서버가 네트워크 내부 및 외부의 요소에 연결할 수 있는지 확인Linux 또는 Windows 호스트에서 MID 서버를 다운로드 및 설치MID 서버 구성MID 서버 보안 구성MID 서버가 네트워크 내부 및 외부의 요소에 연결할 수 있는지 확인Linux 또는 Windows 호스트에서 MID 서버를 다운로드 및 설치MID 서버 구성MID 서버 보안 구성

    이 태스크 정보

    MID 서버 상호 인증은 MID 서버 사용자 이름과 암호를 제거하고 인증을 위한 클라이언트 인증서를 제공합니다. 서버가 인증을 요청할 때마다 이 인증서가 대신 전송됩니다. 상호 인증을 사용하려면 인증서 기반 인증을 사용하도록 설정해야 합니다. 절차는 인증서 기반 인증 설정을 참조하십시오.

    상호 인증을 사용하여 새 MID 서버를 생성해도 기능은 자동으로 추가되지 않습니다. 관리자는 인스턴스의 기록에 역량을 추가해야 합니다. 그러나 역량을 사용하는 기본 인증을 사용하는 기존 MID Server는 상호 인증으로 전환할 때 보존됩니다.

    상호 인증을 사용하는 MID 서버는 인스턴스에서 키를 다시 입력하거나 UI 작업으로 확인할 수 없습니다.

    자체 서명된 인증서는 상호 인증에서 지원되지 않습니다. 내부적으로 서명된 인증서는 개인 인증 기관에서 서명한 경우에만 지원됩니다. 상업적으로 서명된 인증서는 브라우저 및 운영 체제에서 신뢰하는 인증 기관과 같이 일반적으로 신뢰할 수 있는 인증 기관에서 서명한 경우 지원됩니다.

    Quebec 릴리스에서 상태 로그 분석 애플리케이션을 사용하는 MID 서버는 상호 인증으로 구성할 수 없습니다.

    프로시저

    1. MID 서버에 대한 상호 인증을 요청하려면 ServiceNow 지원에 문의하십시오.

      자세한 기술 상세 정보 및 문제 해결 정보는 다음 문서를 참조하십시오 https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1116112.

    2. 신뢰할 수 있는 인증 기관에서 인증서와 개인 키를 가져옵니다.

      MID 서버 상호 인증은 PEM 번들 형식과 PCKS#8 형식의 개인 키만 지원합니다. 번들에는 개인 키와 인증서가 모두 있어야 합니다. 텍스트 편집기를 사용하여 인증서를 열고 텍스트 형식인지 확인합니다. PEM 구문의 헤더와 바닥글은 다음과 같습니다.

       -----BEGIN CERTIFICATE----- 
       -----END CERTIFICATE-----
      번들에는 올바른 형식과 개인 키 및 인증서가 모두 포함되어 있습니다.

      Linux 또는 Windows에서 openssl 명령을 사용하여 PEM 인증서의 내용을 읽을 수 있습니다. openssl x509 -in cert.crt -text . 개인 키는 PKCS#8 형식이어야 합니다. PKCS#8 구문의 헤더와 바닥글은 다음과 같습니다.

       -----BEGIN PRIVATE KEY----- 
       -----END PRIVATE KEY-----

      다음과 같이 Linux 또는 Windows에서 openssl 명령을 사용하여 개인 키의 내용을 확인할 수 있습니다. openssl rsa -in private.key -check

      주:
      인증서가 PKCS#8 형식이 아닌 경우 오류가 발생합니다. - main 심각 *** 오류 *** 유효한 개인 키를 찾을 수 없습니다.
    3. PEM 인증서를 3개의 서로 다른 PEM 파일로 분할합니다.
      1. 개인 키 및 리프 인증서
      2. 리프 인증서
      3. 중간 인증서 및 루트 인증서
    4. 인스턴스에서 중간 및 루트 인증서가 포함된 파일을 CA 인증서 체인 테이블 sys_ca_certificate.list에 업로드합니다.
      주:
      번들 대신 개별적으로 업로드하는 경우 루트 인증서로 시작한 다음 중간 인증서로 시작합니다. 이 파일을 여러 파일로 분할하는 대신 유형이 CA Cert로 설정된 PEM 번들로 업로드하는 것이 좋습니다.
    5. 인스턴스에서 업로드된 CA 인증서 기록을 확인하고 게시 상태가존재로 변경될 때까지 기다립니다.
      주:
      게시 상태가 존재로 업데이트될 때까지 진행하지 마십시오.
    6. 인스턴스에서 sys_user_certificate.list로 이동합니다.
    7. 개인 키는 포함하지 않고 리프 인증서만 sys_user_certificate.list 에 연결합니다.
    8. MID 서버가 확인되면 계속하기 전에 MID 서버를 무효화하십시오.
    9. 새 기록을 생성합니다.
      주:
      기록에는 MID 서버의 이름이 있어야 하며 사용자 역할은MID 서버여야 합니다.
    10. 분할되지 않은 원본 PEM 인증서를 기록에 첨부합니다.
      첨부 파일은 기록의 상단 모서리에 있습니다.
      주:
      첨부된 파일에 인증서만 포함되어 있는지 확인합니다.
    11. MID 서버가 실행 중이면 MID 서버를 중지합니다.
    12. MID 서버 호스트 컴퓨터에서 다음 명령을 실행하여 인증서 및 개인 키를 설치하고 관리합니다.

      클래스 경로에 jar 파일이 필요하므로 에이전트 디렉터리의 루트에서 스크립트를 실행합니다. 그런 다음 보안 디렉터리가 에이전트 루트 폴더에 만들어지고 MID 서버에서 사용됩니다. 예: bin/scripts/manage-certificates.bat -m.

      에는 manage-certificates 다음과 같은 함수가 있으며 스크립트는 에이전트 폴더에서 실행해야 합니다.
      상호 인증 활성화​

      Windows의 경우 bin\scripts\manage-certificates.bat -m 명령을 사용합니다.

      Linux의 경우 ./bin/scripts/manage-certificates.sh -m 명령을 사용합니다.

      상호 인증 제거 및 기본 인증 복구

      Windows의 경우 bin\scripts\manage-certificates.bat -b <myUserName myPassword> 명령을 사용합니다.

      Linux의 경우 ./bin/scripts/manage-certificates.sh -b <myUserName myPassword> 명령을 사용합니다.

      지정된 별칭으로 새 인증서 및 인증서 체인 추가​

      Windows의 경우 bin\scripts\manage-certificates.bat -a <alias> <fileName> 명령을 사용합니다.

      Linux의 경우 ./bin/scripts/manage-certificates.sh -a <alias> <fileName> 명령을 사용합니다.

      별칭은 임포트되는 인증서에 지정된 고유 이름입니다. MID 서버에는 기본 별칭 이름인 defaultsecuritykeypairhandle과 함께 상호 인증을 위한 사용자 지정 인증서가 필요합니다. MID 서버와 인스턴스 간의 MTLS 통신을 구성하려면 별칭 이름 defaultsecuritykeypairhandle을 사용하여 인증서 항목을 키 저장소에 추가해야 합니다.

      fileName은 PEM 인증서 또는 인증서 체인 및 PCKS#8 개인 키를 포함할 수 있는 파일 경로입니다. PEM 번들에 대한 파일 경로에는 여러 인증서와 단일 개인 키가 포함될 수 있습니다. 각 PEM 인증서의 헤더와 바닥글은 다음과 같아야 합니다.

       -----BEGIN CERTIFICATE----- 
       -----END CERTIFICATE-----

      PKCS#8 구문의 헤더와 바닥글은 다음과 같아야 합니다.

       -----BEGIN PRIVATE KEY----- 
       -----END PRIVATE KEY-----

      인증서 체인이 확인에 실패하면 예외가 발생합니다. 파일에 여러 인증서가 포함되어 있는 경우 리프 인증서, 중간 인증서, 루트 인증서 순서여야 합니다.

      지정된 별칭에 대한 인증서 상세 정보 표시

      Windows의 경우 bin\scripts\manage-certificates.bat -g <alias> 명령을 사용합니다.

      Linux의 경우 ./bin/scripts/manage-certificates.sh -g <alias> ​ 명령을 사용합니다.

      이 명령은 인증서의 주체 고유 이름, 발급자 이름 및 만료 날짜와 같은 정보를 표시합니다.

      모든 기존 별칭 나열

      Windows의 경우 bin\scripts\manage-certificates.bat -l 명령을 사용합니다.

      Linux의 경우 ./bin/scripts/manage-certificates.sh -l 명령을 사용합니다.

      이 명령은 에서 agent_keystore사용할 수 있는 모든 별칭 이름을 나열합니다.

      별칭을 사용하여 인증서 삭제​

      Windows의 경우 bin\scripts\manage-certificates.bat -d <alias> 명령을 사용합니다.

      Linux의 경우 ./bin/scripts/manage-certificates.sh -d <alias> 명령을 사용합니다.

      이 명령은 키 저장소에서 별칭과 기록을 삭제합니다. 이 명령을 사용하여 별칭 DefaultSecurityKeyPairHandle 항목을 삭제할 수 있습니다.

      키 저장소에서 모든 항목 제거

      Windows의 경우 bin\scripts\manage-certificates.bat -r 명령을 사용합니다.

      Linux의 경우 ./bin/scripts/manage-certificates.sh -r​ 명령을 사용합니다.

      이 명령은 별칭 DefaultSecurityKeyPairHandle을 제외하고 키 저장소에서 기존 항목을 삭제합니다.

    13. MID 서버를 시작합니다.