Aktivieren Sie die gegenseitige Authentifizierung des MID-Servers

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 5 Minuten Lesedauer

    • Konfigurieren Sie den MID-Server so, dass er ein Clientzertifikat für die Authentifizierung bei der Instanz verwendet. Dadurch wird vermieden, dass im Schlüsselspeicher für die Konfiguration des MID-Servers Anmeldeinformationen für die Standardauthentifizierung erstellt werden müssen.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Richten Sie den Indikator für die Sicherheitsphase einStellen Sie sicher, dass der MID-Server eine Verbindung zu Elementen innerhalb und außerhalb Ihres Netzwerks herstellen kannLaden Sie den MID-Server herunter, und installieren Sie ihn auf einem Linux- oder Windows-HostKonfigurieren Sie Ihren MID-ServerKonfigurieren Sie die MID-ServersicherheitStellen Sie sicher, dass der MID-Server eine Verbindung zu Elementen innerhalb und außerhalb Ihres Netzwerks herstellen kannLaden Sie den MID-Server herunter, und installieren Sie ihn auf einem Linux- oder Windows-HostKonfigurieren Sie Ihren MID-ServerKonfigurieren Sie die MID-Serversicherheit

    Warum und wann dieser Vorgang ausgeführt wird

    Die gegenseitige Authentifizierung DES MID-Servers entfernt den MID-Server-Anwendernamen und das Passwort und stellt ein Clientzertifikat für die Authentifizierung bereit. Wenn ein Server eine Authentifizierung anfordert, wird stattdessen dieses Zertifikat gesendet. Zur Verwendung der gegenseitigen Authentifizierung muss die zertifikatbasierte Authentifizierung aktiviert sein. Siehe Richten Sie die zertifikatbasierte Authentifizierung ein Für den Eingriff.

    Wenn ein neuer MID-Server mit gegenseitiger Authentifizierung erstellt wird, werden Fähigkeiten nicht automatisch hinzugefügt. Ein Administrator muss seinem Datensatz in der Instanz Fähigkeiten hinzufügen. Vorhandene MID-Server mit Standardauthentifizierung mit Funktionen werden jedoch beibehalten, wenn zur gegenseitigen Authentifizierung gewechselt wird.

    Ein MID-Server, der die gegenseitige Authentifizierung verwendet, kann nicht erneut als UI-Aktion für die Instanz eingegeben oder validiert werden.

    Selbstsignierte Zertifikate werden bei der gegenseitigen Authentifizierung nicht unterstützt. Intern signierte Zertifikate werden nur unterstützt, wenn sie von einer privaten Zertifizierungsstelle signiert werden. Kommerziell signierte Zertifikate werden unterstützt, wenn sie von einer allgemein vertrauenswürdigen Zertifizierungsstelle signiert werden, z. B. von Browsern und Betriebssystemen vertrauenswürdige Zertifikate.

    Im Quebec-Release kann ein MID-Server, der die Anwendung „Integritätsprotokollanalyse“ verwendet, nicht mit gegenseitiger Authentifizierung konfiguriert werden.

    Prozedur

    1. Wenden Sie sich an den ServiceNow-Support, um die gegenseitige Authentifizierung auf dem MID-Server anzufordern.
    2. Erhalten Sie ein Zertifikat und einen privaten Schlüssel von einer anerkannten Zertifizierungsstelle.

      Die gegenseitige Authentifizierung des MID-Servers unterstützt nur das PEM-Paketformat und den privaten Schlüssel im PCKS#8-Format. Das Paket muss sowohl den privaten Schlüssel als auch das Zertifikat enthalten. Öffnen Sie das Zertifikat mit einem Texteditor, und überprüfen Sie, ob es im Textformat vorliegt. Die Header- und Fußzeile der PEM-Syntax lautet wie folgt:

       -----BEGIN CERTIFICATE----- 
       -----END CERTIFICATE-----
      Das Paket enthält die richtige Formatierung sowie den privaten Schlüssel und das Zertifikat.

      Sie können den Inhalt eines PEM-Zertifikats mit lesen openssl Befehl unter Linux oder Windows wie folgt: openssl x509 – in cert.crt – Text . Der private Schlüssel muss das PKCS#8-Format aufweisen. Die Header- und Fußzeile der PKCS#8-Syntax lautet wie folgt:

       -----BEGIN PRIVATE KEY----- 
       -----END PRIVATE KEY-----

       Sie können den Inhalt eines privaten Schlüssels mit überprüfen openssl Befehl unter Linux oder Windows wie folgt: openssl-rsa – in private.key – prüfen

      Hinweis:
      Wenn Ihr Zertifikat nicht im PKCS#8-Format vorliegt, wird ein Fehler angezeigt: – SCHWERWIEGENDER HAUPTFEHLER *** *** – gültiger privater Schlüssel wurde nicht gefunden
    3. Navigieren Sie in der Instanz zu sys_user_certificate.list .
    4. Erstellen Sie einen neuen Datensatz.
      Hinweis:
      Der Datensatz muss den Namen des MID-Servers und den enthalten Anwenderrolle Muss sein MID-Server .
    5. Hängen Sie das Zertifikat an den Datensatz an.
      Der Anhang befindet sich in der oberen Ecke des Datensatzes.
      Hinweis:
      Stellen Sie sicher, dass die angehängte Datei nur das Zertifikat enthält.
    6. Wahlweise: Wenn der MID-Server ausgeführt wird, halten Sie den MID-Server an.
    7. Führen Sie auf dem MID-Server-Hostcomputer die folgenden Befehle aus, um das Zertifikat und den privaten Schlüssel zu installieren und zu verwalten.

      Führen Sie das Skript aus dem Stamm des Agent-Verzeichnisses aus, da es die JAR-Dateien im Klassenpfad erfordert. Das Sicherheitsverzeichnis wird dann im Stammordner des Agenten erstellt und vom MID-Server verwendet. Beispiel: Bin/Skripts/manage-certificates.bat -m.

      Die manage-certificatesHat die folgenden Funktionen, und die Skripts müssen im Agent-Ordner ausgeführt werden.
      Aktivieren Sie die gegenseitige Authentifizierung ​

      Verwenden Sie für Windows den folgenden Befehl: Bin/Skripts/manage-certificates.bat–m

      Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -m

      Entfernen Sie die gegenseitige Authentifizierung, und stellen Sie die Standardauthentifizierung wieder her

      Verwenden Sie für Windows den folgenden Befehl: Bin/scripts/manage-certificates.bat -b <myUserName myPassword>

      Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -b <myUserName myPassword>

      Fügen Sie neue Zertifikate und Zertifikatketten mit einem angegebenen Alias hinzu ​

      Verwenden Sie für Windows den folgenden Befehl: Bin/scripts/manage-certificates.bat: Ein <alias> <fileName>

      Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh: Ein <alias> <fileName>

      Die Alias Ist ein eindeutiger Name für das zu importierende Zertifikat. Der MID-Server erfordert ein anwenderdefiniertes Zertifikat für die gegenseitige Authentifizierung mit dem Standardaliasnamen Standardmäßige Sicherheitsschlüssel-Handle . Um die MTLS-Kommunikation zwischen dem MID-Server und der Instanz zu konfigurieren, muss der Zertifikateintrag dem Schlüsselspeicher mithilfe des Aliasnamens hinzugefügt werden Standardmäßige Sicherheitsschlüssel-Handle .

      Die Dateiname Ist ein Dateipfad, der ein PEM-Zertifikat oder eine Zertifikatkette und einen privaten PCKS#8-Schlüssel enthalten kann. Der Dateipfad zum PEM-Paket kann mehrere Zertifikate und einen einzelnen privaten Schlüssel enthalten. Die Header- und Fußzeile jedes PEM-Zertifikats müssen wie folgt lauten:

       -----BEGIN CERTIFICATE----- 
       -----END CERTIFICATE-----

      Header und Fußzeile der PKCS#8-Syntax müssen wie folgt lauten:

       -----BEGIN PRIVATE KEY----- 
       -----END PRIVATE KEY-----

      Eine Ausnahme wird ausgelöst, wenn die Validierung der Zertifikatkette fehlschlägt. Wenn die Datei mehrere Zertifikate enthält, müssen sie bestellt werden: Blattzertifikat, Zwischenzertifikate und dann Stammzertifikate.

      Zertifikatdetails für den angegebenen Alias anzeigen

      Verwenden Sie für Windows den folgenden Befehl: Bin/scripts/manage-certificates.bat – g <alias> ​

      Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -g <alias> ​

      Dieser Befehl zeigt Informationen wie den eindeutigen Antragstellernamen, den Ausstellernamen und das Ablaufdatum des Zertifikats an.

      Listet alle vorhandenen Aliasse auf

      Verwenden Sie für Windows den folgenden Befehl: Bin/Skripts/manage-certificates.bat -l

      Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -l

      Dieser Befehl listet alle Aliasnamen auf, die in verfügbar sind agent_keystore.

      Löschen Sie Zertifikate mit einem Alias ​

      Verwenden Sie für Windows den folgenden Befehl: Bin/scripts/manage-certificates.bat -d <alias>

      Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -d <alias>

      Dieser Befehl löscht den Alias und den Datensatz aus dem Schlüsselspeicher. Der Eintrag für den Alias DefaultSecurityKeyPairHandleKann mit diesem Befehl gelöscht werden.

      Entfernen Sie alle Einträge aus dem Schlüsselspeicher

      Verwenden Sie für Windows den folgenden Befehl: Bin/Skripts/manage-certificates.bat -r ​

      Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -r ​

      Dieser Befehl löscht die vorhandenen Einträge aus dem Schlüsselspeicher mit Ausnahme des Alias DefaultSecurityKeyPairHandle. ​

    8. Starten Sie den MID-Server.