MID Server 相互認証の有効化

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む8読むのに数分

    • インスタンスに対する認証にクライアント証明書を使用するように MID Server を構成します。これにより、MID Server 構成のキーストアに基本認証資格情報を作成する必要がなくなります。

    始める前に

    必要なロール:admin

    セキュリティフェーズのインジケーターを設定するMID Server がネットワークの内部と外部の要素に接続できることを確認するMID Server を Linux または Windows ホストにダウンロードしてインストールするMID Server を構成MID Server セキュリティを設定MID Server がネットワークの内部と外部の要素に接続できることを確認するMID Server を Linux または Windows ホストにダウンロードしてインストールするMID Server を構成MID Server セキュリティを設定

    このタスクについて

    MID Server 相互認証は、MID Server のユーザー名とパスワードを削除し、認証用のクライアント証明書を提供します。サーバーが認証を要求するたびに、代わりにこの証明書が送信されます。相互認証を使用するには、証明書ベースの認証を有効にする必要があります。手順については、「証明書ベースの認証の設定」を参照してください。

    相互認証を使用して新しい MID Server が作成された場合、機能は自動的に追加されません。管理者は、インスタンスのレコードに機能を追加する必要があります。ただし、機能を備えた基本認証を使用している既存の MID Server は、相互認証に切り替えたときに保持されます。

    相互認証を使用する MID Server は、インスタンスに対する UI アクションとしてリキーまたは検証することはできません。

    自己署名証明書は相互認証ではサポートされていません。内部署名証明書は、プライベート認証局によって署名されている場合にのみサポートされます。商用署名証明書は、ブラウザやオペレーティングシステムによって信頼されている認証局など、一般的に信頼されている認証局によって署名されている場合にサポートされます。

    Quebec リリースでは、Health Log Analytics アプリケーションを使用する MID Server を相互認証で構成することはできません。

    手順

    1. ServiceNow サポートに連絡して、MID Server での相互認証を依頼してください。
    2. 信頼できる認証局から証明書と秘密鍵を取得します。

      MID Server 相互認証は、PEM バンドル形式と PCKS#8 形式の秘密鍵のみをサポートします。バンドルには秘密鍵と証明書の両方が必要です。テキストエディターを使用して証明書を開き、テキスト形式かどうかを確認します。PEM 構文のヘッダーとフッターは次のとおりです。

       -----BEGIN CERTIFICATE----- 
       -----END CERTIFICATE-----
      バンドルには、正しい形式と、秘密キーと証明書の両方が含まれています。

      PEM 証明書の内容を読み取るには、Linux または Windows で次の openssl コマンドを使用します。openssl x509 -in cert.crt -text 秘密鍵は PKCS#8 形式である必要があります。PKCS#8 構文のヘッダーとフッターは次のとおりです。

       -----BEGIN PRIVATE KEY----- 
       -----END PRIVATE KEY-----

      秘密鍵の内容を確認するには、Linux または Windows で次の openssl コマンドを使用します。 openssl rsa -in private.key -check

      注:
      証明書が PKCS#8 形式でない場合は、次のエラーが表示されます。- main SEVERE *** ERROR *** 有効な秘密鍵が見つかりませんでした (Could not find valid private key)
    3. インスタンスで、sys_user_certificate.list に移動します。
    4. 新しいレコードを作成します。
      注:
      レコードには MID Server の名前が含まれている必要があり、[ユーザーロール][MID Server] である必要があります。
    5. 証明書をレコードに添付します。
      添付ファイルはレコードの上の隅にあります。
      注:
      添付ファイルに証明書のみが含まれていることを確認してください。
    6. オプション: MID Server が実行されている場合は、MID Server を停止します。
    7. MID Server のホストマシンで、次のコマンドを実行して証明書と秘密鍵をインストールして管理します。

      クラスパスに jar ファイルが必要なため、エージェントディレクトリのルートからスクリプトを実行します。セキュリティディレクトリがエージェントのルートフォルダーに作成され、MID Server によって使用されます。例: bin/scripts/manage-certificates.bat -m

      には manage-certificates 以下の機能があり、スクリプトはエージェントフォルダーから実行する必要があります。
      相互認証の有効化

      Windows の場合は、次のコマンドを使用します:bin/scripts/manage-certificates.bat -m

      Linux の場合は、次のコマンドを使用します:bin/scripts/manage-certificates.sh -m

      相互認証を削除し、基本認証を復元

      Windows の場合は、次のコマンドを使用します:bin/scripts/manage-certificates.bat -b <myUserName myPassword>

      Linux の場合は、次のコマンドを使用します:bin/scripts/manage-certificates.sh -b <myUserName myPassword>

      指定したエイリアスを使用して、新しい証明書と証明書チェーンを追加

      Windows の場合は、次のコマンドを使用します:bin/scripts/manage-certificates.bat -a <alias> <fileName>

      Linux の場合は、次のコマンドを使用します:bin/scripts/manage-certificates.sh -a <alias> <fileName>

      alias は、インポートされる証明書に指定した一意の名前です。MID Server では、相互認証用のカスタム証明書 (デフォルトのエイリアス名 defaultsecuritykeypairhandle を使用) が必要です。MID Server とインスタンス間の MTLS 通信を構成するには、エイリアス名 defaultsecuritykeypairhandle を使用して証明書エントリをキーストアに追加する必要があります。

      fileName は、PEM 証明書、証明書チェーン、および PCKS#8 秘密鍵を含めることができるファイルパスです。PEM バンドルへのファイルパスには、複数の証明書と単一の秘密鍵を含めることができます。各 PEM 証明書のヘッダーとフッターは次のとおりです。

       -----BEGIN CERTIFICATE----- 
       -----END CERTIFICATE-----

      PKCS#8 構文のヘッダーとフッターは次のとおりです。

       -----BEGIN PRIVATE KEY----- 
       -----END PRIVATE KEY-----

      証明書チェーンの検証に失敗した場合は、例外がスローされます。ファイルに複数の証明書が含まれている場合は、リーフ証明書、中間証明書、ルート証明書の順に並べる必要があります。

      指定したエイリアスの証明書の詳細を表示

      Windows の場合は、次のコマンドを使用します:bin/scripts/manage-certificates.bat -g <alias> ​

      Linux の場合は、次のコマンドを使用します:./bin/scripts/manage-certificates.sh -g <alias> ​

      このコマンドは、サブジェクトの識別名、発行者名、証明書の有効期限などの情報を表示します。

      既存のすべてのエイリアスをリスト

      Windows の場合は、次のコマンドを使用します:bin/scripts/manage-certificates.bat -l

      Linux の場合は、次のコマンドを使用します:./bin/scripts/manage-certificates.sh -l

      このコマンドは、agent_keystore で使用可能なすべてのエイリアス名をリストします。

      エイリアスを使用して証明書を削除

      Windows の場合は、次のコマンドを使用します:bin/scripts/manage-certificates.bat -d <alias>

      Linux の場合は、次のコマンドを使用します:./bin/scripts/manage-certificates.sh -d <alias>

      このコマンドは、エイリアスとレコードをキーストアから削除します。エイリアス DefaultSecurityKeyPairHandle のエントリは、このコマンドを使用して削除できます。

      キーストアからすべてのエントリを削除

      Windows の場合は、次のコマンドを使用します:bin/scripts/manage-certificates.bat -r​

      Linux の場合は、次のコマンドを使用します:./bin/scripts/manage-certificates.sh -r ​

      このコマンドは、エイリアス DefaultSecurityKeyPairHandle を除く既存のエントリをキーストアから削除します。

    8. MID Server を起動します。