Konfigurieren Sie die mTLS-Authentifizierung für MID-Webserver

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer
  • Verbessern Sie die Sicherheit in Ihrem MID-WebserverErweiterung durch Aktivierung der mTLS-Authentifizierung.

    Vorbereitungen

    Stellen Sie sicher, dass Sie Transport Layer Security (TLS) für den Agent aktiviert haben. Details finden Sie unter Verbinden Sie den Service Desk-Mitarbeiter mit MID-ServerMTLS wird verwendet.

    Stellen Sie sicher, dass insecure-skip-tls-verifyParameter in acc.yml Konfigurationsdatei ist auf festgelegt Falsch . Für Details zu acc.yml Datei, siehe ../../agent-client-collector/reference/acc-yml-options.html.

    Erforderliche Rolle: agent_client_collector_admin

    Warum und wann dieser Vorgang ausgeführt wird

    Die MID-WebserverDie Erweiterung durchsucht die folgenden Standorte (in der angegebenen Reihenfolge), um auf den Truststore-Standort und das Passwort zuzugreifen:
    • Truststore-Standort: Der mid.webserver.truststore.pathJVM-Systemeigenschaft.

      Wenn diese Eigenschaft leer ist, ruft die Erweiterung den Standort von ab javax.net.ssl.trustStoreJVM-Systemeigenschaft.

      Wenn kein Standort angegeben ist, wird für den Truststore-Speicherort standardmäßig der absolute Pfad von verwendet Behälter Datei der JRE, die ausführt MID-Server.

    • Truststore-Passwort Truststore-Passwort Feld im Erweiterungsformular in der Instanz.

      Wenn dieses Feld leer ist, ruft das System das Passwort von ab javax.net.ssl.trustStorePasswordJVM-Systemeigenschaft.

      Wenn kein Standort angegeben ist, wird das Passwort standardmäßig auf festgelegt changeit.

    Prozedur

    1. Navigieren Sie zum Stammordner von MID-Server.
    2. Führen Sie den folgenden Befehl aus, um Ihr Zertifikat dem MID-Truststore hinzuzufügen:
      ./jre/bin/keytool -importcert -file /etc/pki/ca-trust/source/anchors/labcacert.pem -destkeystore ./jre/lib/security/cacerts -alias mtlsca
    3. Eingabetaste Änderung Wenn Sie zur Eingabe eines Passworts aufgefordert werden.
    4. Wählen Sie Aus ja Im Bestätigungsnachrichtenfenster, um anzugeben, dass Sie dem Zertifikat vertrauen.
    5. Führen Sie den folgenden Befehl aus, um sicherzustellen, dass Ihr Zertifikat erfolgreich dem MID-Truststore hinzugefügt wurde.
      ./jre/bin/keytool -list -keystore ./jre/lib/security/cacerts -alias mtlsca
    6. Eingabetaste Änderung Wenn Sie zur Eingabe eines Passworts aufgefordert werden.
    7. In MID-ServerWrapper-Konfigurationsdatei überschreiben ( Wrapper-override.conf , Befindet sich in Startseite/Konf. Verzeichnis von MID-Server), konfigurieren Sie den Widerruf von Client-Zertifikaten in mid.webserver.cert.revocation.check.enabledEigenschaft.
      • Wenn Sie ein anwenderdefiniertes internes Zertifikat haben, legen Sie es auf fest Falsch Durch Hinzufügen der folgenden Zeile zu Conf/Wrapper-override.conf Datei auf dem MID-Server:
        wrapper.java.additional.4=-Dmid.webserver.cert.revocation.check.enabled=false
      • Beim Aktivieren dieser Eigenschaft ( Wahr ), konfigurieren Sie mid.webserver.ocsp.responder.urlEigenschaft mit der OCSP-Responder-URL. Dieser Wert überschreibt jede im Zertifikat eingebettete URL.
    8. Wenn Sie Eigenschaften in der Wrapper-Konfigurationsdatei zum Überschreiben geändert haben, starten Sie neu MID-Server.
    9. Auf Ihrem ServiceNow®Instanz, greifen Sie auf zu MID-ServerZeichnen Sie den Wert von auf, und ändern Sie ihn Authentifizierungstyp Feld bis MTLs .
    10. Starten Sie neu MID-Webserver.
    11. Überprüfen Sie, ob MID-WebserverUnd websocket-Endpunkt werden ausgeführt.

    Nächste Maßnahme

    Verbinden Sie den Service Desk-Mitarbeiter mit MID-ServerMTLS wird verwendet.