Richtlinien zur Zertifikatprüfung für MID-Server

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 5 Minuten Lesedauer

    • Der MID-Server verwendet drei Arten von Sicherheitsprüfungen, um den externen Datenverkehr zu sichern. Die Sicherheitsprüfungen verwenden die Validierung des TLS/SSL-Zertifikats, des Hostnamens und der OCSP-Validierung, um die Sicherheit zu verbessern. Steuern Sie diese Sicherheitsprüfungen mit der Tabelle mit den Richtlinien für Zertifikatprüfungen des MID-Servers.

    Richten Sie den Indikator für die Sicherheitsphase einSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurierenSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurieren

    Validierung des TLS/SSL-Zertifikats

    Die TLS/SSL-Verschlüsselungssicherheit verwendet asymmetrische Verschlüsselung, auch als Verschlüsselung mit öffentlichem Schlüssel bezeichnet. Diese Verschlüsselung verwendet zwei kryptografische Schlüssel: den öffentlichen Schlüssel und den privaten Schlüssel. Der öffentliche Schlüssel wird zur Verschlüsselung von Daten verwendet und ist öffentlich sichtbar. Der private Schlüssel wird zur Entschlüsselung von Daten verwendet, und seine Sicherheit ist für die Überprüfung der Authentizität von entscheidender Bedeutung. Weitere Informationen zum Vorbereiten des Netzwerks finden Sie unter MID-Server TLS/SSL-Zertifikatprüfungsrichtlinie Quebec-Upgradeinformationen [KB0867397].

    Bei der TLS/SSL-Zertifikatvalidierung versucht der MID-Server, eine Verbindung zu einem Webserver herzustellen, der mit einem TLS- oder SSL-Zertifikat gesichert ist. Der Webserver sendet eine Kopie seines TLS/SSL-Zertifikats an den MID Server. Der MID Server überprüft die Authentizität des Zertifikats und sendet eine Nachricht an den Webserver. Der Webserver antwortet mit einer digital signierten Einwilligung zur Initiierung einer TLS/SSL-verschlüsselten Sitzung. Danach kann der MID-Server die verschlüsselte Kommunikation mit dem Webserver beginnen.

    Hostnamenvalidierung

    Die Verifizierung des Hostnamens ist ein Teil von HTTPS, der eine Überprüfung der Serveridentität umfasst, um sicherzustellen, dass der Client mit dem richtigen Server kommuniziert. Diese Prüfung verhindert, dass Informationen an einen Server gesendet werden, nachdem sie von einem Man-in-the-Mate-Angriff umgeleitet wurden.

    Bei der Prüfung wird überprüft, ob der dnsName des vom Server gesendeten Zertifikats mit der URL übereinstimmt, die zum Stellen der Anforderung verwendet wurde. Gemäß RFC 6125 muss die Verifizierung des Hostnamens anhand des dNSName-Felds des Zertifikats „subjectAlternativeName“ erfolgen. In einigen Legacy-Implementierungen erfolgt die Prüfung anhand des Felds commonName des Zertifikats. Wenn die Namen nicht übereinstimmen, wird die Verbindung beendet.

    Hinweis:
    Bei der Hostnamenvalidierung wird der Hostname von dem vom Server vorgelegten validierten Zertifikat abgeleitet. Daher ist die Validierung des TLS-Zertifikats eine Voraussetzung für die Validierung des Hostnamens.

    Online Certificate Status Protocol (OCSP)

    OCSP beinhaltet die Kontaktaufnahme mit dem Remote-Zertifizierungsstellenserver und die Überprüfung des Zertifikats, bevor der MID-Server weiter mit dem Zielserver kommuniziert. Gefährdete Zertifikate können eine Sicherheitsschwachstelle darstellen, insbesondere wenn diese Zertifikate andere Zertifikate signieren können. Wenn Zertifikate beschädigt oder gefälscht wurden, kann eine Zertifizierungsstelle einen Client informieren, welche Zertifikate ungültig sind und nicht verwendet werden sollten.

    Ein OCSP-Responder (ein Server, der normalerweise vom Zertifikataussteller ausgeführt wird) gibt eine signierte Antwort zurück, dass das Zertifikat „gut“, „widerrufen“ oder „unbekannt“ ist. Wenn die Anforderung nicht verarbeitet werden kann, wird möglicherweise ein Fehlercode zurückgegeben.

    Der Aussteller des Zertifikats kann eine andere Behörde als OCSP-Responder delegieren. Dies führt zu einer Kette von Zertifikaten, die verifiziert werden müssen. Das Zertifikat des Beantworters muss vom Aussteller des betreffenden Zertifikats ausgestellt werden. Das Zertifikat des Beantworters muss eine bestimmte Erweiterung enthalten, die ihn als OCSP-Signaturstelle kennzeichnet.

    Hinweis:
    OCSP-Prüfungen sind sekundäre HTTP-Aufrufe an einen OCSP-Responder. Der primäre Anruf kann die Verbindung basierend auf der Antwort des OCSP-Beantworters trennen.

    Sicherheitsrichtlinie für den MID-Server

    Die Sicherheitsrichtlinien für MID-Server steuern den gesamten HTTPS-Datenverkehr, der vom MID-Server stammt. Dies umfasst HTTPS-Verbindungen vom MID Server zu einem Internetendpunkt, ServiceNow-URLs, Intranetendpunkte sowie Cloud-Endpunkte.

    Zertifikatprüfungsrichtlinien

    Diese Verbindungen können weiter in 4 Sicherheitsrichtlinien unterteilt werden:

    ServiceNow-Endpunktrichtlinie
    Diese Richtlinie ist der Systemstandard ausschließlich für ServiceNow-URLs. In der config.xml-Dateifür den MID-Server sind Bootstrap-Eigenschaften vorhanden, die nur zum Herstellen der ersten Verbindung zur Instanz verwendet werden und mit der Richtlinie „system_default“ aktualisiert werden.
    Internetrichtlinie
    Diese Richtlinien gelten für alle HTTPS-Verbindungen, die vom MID-Server zu einem beliebigen Endpunkt im Internet initiiert werden.
    Intranet-Richtlinie
    Diese Richtlinien gelten für die reservierten IP-Subnetze, z. B. für selbstgehostete Netzwerke.
    Überschriebene Richtlinie
    Sie können bestimmte Endpunkte oder URLs mit dieser Richtliniendefinition überschreiben. Überschriebene Richtlinien haben während des Betriebs die höchste Priorität.

    Beide Tabellen können bearbeitet werden, um IP-Bereiche ein- oder auszuschließen und zu steuern, welche Art von Zertifikatvalidierungsprüfungen durchgeführt werden müssen. Aktivieren Sie alle Prüfungen der Zertifikatvalidierung, um die Sicherheit zu maximieren. In der Quebec-Version sind alle Richtlinien und Prüfungen für Neuinstallationen standardmäßig aktiviert.

    Für das Upgrade von Kunden sind gemäß Intranetrichtlinie die Zertifikatvalidierungsprüfungen standardmäßig deaktiviert. Um die Sicherheit zu verbessern, konfigurieren und aktivieren Sie die Richtlinie für Endpunkte innerhalb des internen Netzwerks.
    Hinweis:
    Interne Endpunkte oder URLs müssen für eine erfolgreiche Verbindung ein gültiges CA-signiertes Zertifikat besitzen.

    Importieren Sie für Endpunkte, die ein selbstsigniertes Zertifikat hosten, entweder das Zertifikat in den MID-Server-Truststore, oder deaktivieren Sie die Richtlinienprüfungen, die diesen Host validieren. Weitere Informationen zum Hinzufügen von Zertifikaten finden Sie unter Fügen Sie SSL-Zertifikate für den MID-Server hinzu.

    Wechseln Sie nach dem Upgrade auf Quebec zur Tabelle mit den Zertifikatprüfungsrichtlinien, und nehmen Sie bei Bedarf Änderungen an der Richtlinienkonfiguration vor. Sobald der MID-Server gestartet wird und eine Verbindung zur Instanz hergestellt wird, wenden alle nachfolgenden HTTPS-Verbindungen, die vom MID-Server stammen, diese Zertifikatprüfungen zur Laufzeit an. Unsichere Verbindungen werden mit entsprechenden Fehlermeldungen unterbrochen.

    Verwenden Sie die Instanzsicherheitsrichtlinie

    Der MID-Server-Konfigurationsparameter mid.ssl.use.instance.security.policy steuert, ob der MID-Server seine Bootstrap-Parameter anstelle der Sicherheitsrichtlinie von der Instanz verwendet. Standardmäßig ist „mid.ssl.use.instance.security.policy“ in „ config.xml“ auf „falsch“ festgelegt, damit die Bootstrap-Richtlinien nicht von denen der Instanz überschrieben werden.

    Diese Standardeinstellung kann einige Probleme während der Einrichtung des MID-Servers verhindern. Wenn der Host beispielsweise den OCSP-Responder nicht erreichen kann, wird eine Neuinstallation eines MID-Servers nicht durch die Richtlinie einer Instanz, die eine OCSP-Verbindung erfordert, unterbrochen.

    Der Konfigurationsparameter „mid.ssl.use.instance.security.policy“ kann für jeden MID-Server festgelegt werden. Bei Festlegung auf „wahr“ synchronisiert der MID-Server alle Richtlinien mit der Instanz, und die Bootstrap-Konfigurationsparameter werden von der Richtlinie *.servicenow.com in der Tabelle „mid_cert_check_policy“ der Instanz überschrieben. Die endgültigen Richtlinien aktualisieren die Richtlinienzuordnung im MID-Server-Speicher sowie die config.xml.

    Die Standardparameter in der config.xml sind:
    • <parameter name="mid.ssl.bootstrap.default.check_cert_hostname" value="true"/>
    • <parameter name="mid.ssl.bootstrap.default.check_cert_chain" value="true"/>
    • <parameter name="mid.ssl.bootstrap.default.check_cert_revocation" value="false"/>
    • <parameter name="mid.ssl.use.instance.security.policy" value="false"/>

    Selbst gehostete Instanzen oder lokale Instanzen müssen den folgenden Parameter für die config.xml hinzufügen:<parameter name="mid.ssl.bootstrap.default.target_endpoint" value="FQDN_OF_THE_INSTANCE"/>