TLS/SSL 証明書の検証

TLS/SSL 暗号化セキュリティでは、公開鍵暗号化とも呼ばれる非対称暗号化を使用します。この暗号化では、公開鍵と秘密鍵の 2 つの暗号鍵を使用します。公開鍵はデータの暗号化に使用され、公開されます。秘密鍵はデータの復号化に使用され、そのセキュリティは信頼性を検証するために不可欠です。ネットワークの準備の詳細については、以下を参照してください。 MID サーバー TLS/SSL 証明書チェックポリシー Quebec アップグレード情報 [KB0867397].

TLS/SSL 証明書の検証では、MID Server は TLS または SSL 証明書で保護された Web サーバーへの接続を試行します。Web サーバーは、TLS/SSL 証明書のコピーを MID Server に送信します。MID Server は証明書の信頼性を確認し、メッセージを Web サーバーに送信します。Web サーバーは、TLS/SSL 暗号化セッションを開始するためのデジタル署名された承認で応答します。その後、MID Server は Web サーバーとの暗号化された通信を開始できます。

ホスト名の検証

ホスト名の検証は、クライアントが正しいサーバーと通信していることを確認するためのサーバー ID チェックを含む HTTPS の一部です。このチェックは、中間者攻撃によってリダイレクトされた後にサーバーに情報を送信することを防ぎます。

このチェックでは、サーバーから送信された証明書の dnsName が、要求の実行に使用された URL と一致することを確認します。RFC 6125 に従い、ホスト名の検証は、証明書の subjectAlternativeName の dNSName フィールドに対して実行する必要があります。一部の従来の実装では、証明書の commonName フィールドに対してチェックが行われます。名前が一致しない場合、接続が終了します。

オンライン証明書ステータスプロトコル (OCSP)

OCSP では、MID Server がターゲットサーバーとさらに通信する前に、リモート認証局サーバーに接続して証明書を検証します。特にこれらの証明書に他の証明書に署名する機能がある場合、侵害された証明書はセキュリティ上の脆弱性となる可能性があります。証明書が壊れているか偽造されている場合、認証局はどの証明書が無効で使用すべきでないかをクライアントに通知できます。

OCSP レスポンダ (通常は証明書発行者によって実行されるサーバー) は、証明書が「良好」、「失効」、または「不明」であるという署名付き応答を返します。要求を処理できない場合は、エラーコードが返されることがあります。

証明書の発行者は、別の権限を OCSP レスポンダとして委任することができます。これにより、検証が必要な一連の証明書が作成されます。レスポンダの証明書は、問題の証明書の発行者が発行する必要があります。レスポンダの証明書には、それを OCSP 署名機関としてマークする特定の拡張子を含める必要があります。

MID Server セキュリティポリシー

MID Server のセキュリティ方針は、MID Server から発信されるすべての HTTPS トラフィックを制御します。これには、MID Server からインターネットエンドポイント、ServiceNow URL、イントラネットエンドポイント、およびクラウドエンドポイントへの HTTPS 接続が含まれます。

これらの接続は、さらに次の 4 つのセキュリティ方針に分類できます。

ServiceNow エンドポイントポリシー

このポリシーは、ServiceNow URL 専用のシステムデフォルトです。MID Server の config.xml には、インスタンスへの最初の接続にのみ使用され、system_default ポリシーで更新されるブートストラッププロパティがあります。

インターネットポリシー

これらのポリシーは、MID Server からインターネット上のエンドポイントへのすべての HTTPS 接続を対象とします。

イントラネットポリシー

これらのポリシーは、セルフホストネットワークなどの予約済み IP サブネットを対象とします。

上書きされたポリシー

このポリシー定義を使用して、特定のエンドポイントまたは URL を上書きできます。上書きされたポリシーは、操作時に最も優先順位が高くなります。

どちらのテーブルも編集可能で、IP 範囲を含めたり除外したりするだけでなく、実行する必要がある証明書検証チェックの種類を制御することもできます。セキュリティを最大化するために、すべての証明書検証チェックを有効にします。Quebec バージョンでは、新規インストールのすべてのポリシーとチェックがデフォルトでオンになっています。

自己署名証明書をホストするエンドポイントの場合は、証明書を MID Server トラストストアにインポートするか、そのホストを検証するポリシーチェックを無効にします。証明書の追加方法の詳細については、「MID Server用の SSL 証明書を追加する」を参照してください。

Quebec にアップグレードした後、証明書チェックポリシーテーブルに移動し、必要に応じてポリシー構成を変更します。MID Server が起動してインスタンスに接続すると、MID Server から発生する後続の HTTPS 接続は実行時にこれらの証明書チェックの適用を開始します。安全でない接続は切断され、適切なエラーメッセージが表示されます。

インスタンスセキュリティポリシーの使用

MID Server 設定パラメーター mid.ssl.use.instance.security.policy は、MID Server がインスタンスのセキュリティポリシーではなくブートストラップパラメーターを使用するかどうかを制御します。デフォルトでは、config.xml で mid.ssl.use.instance.security.policy は false に設定されているため、インスタンスによってブートストラップポリシーが上書きされることはありません。

このデフォルト設定により、MID Server のセットアップ中にいくつかの問題を防ぐことができます。たとえば、ホストが OCSP レスポンダーに到達できない場合、新しい MID Server のインストールは OCSP 接続を要求するインスタンスのポリシーによって中断されません。

設定パラメーター mid.ssl.use.instance.security.policy は、各 MID Server に設定できます。true に設定すると、MID Server はすべてのポリシーをインスタンスと同期し、ブートストラップ設定パラメーターはインスタンスの mid_cert_check_policy テーブルの *.servicenow.com ポリシーによって上書きされます。最終的なポリシーは、MID Server メモリ内のポリシーマップと config.xml を更新します。

セルフホストまたはオンプレミスのインスタンスでは、config.xml に次のパラメーター、<parameter name="mid.ssl.bootstrap.default.target_endpoint" value="FQDN_OF_THE_INSTANCE"/> を追加する必要があります。