Generieren Sie Zertifikate für das Setup des Headless-Browsers für Linux

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Generieren Sie TLS/SSL-Zertifikate, um die Docker-REST-API zu sichern und HTTP-Anforderungen zu authentifizieren.

    Vorbereitungen

    Erfüllen Sie die in aufgeführten Voraussetzungen Headless-Browser-Setup für LinuxThema.

    Erforderliche Rolle: administrator auf Ihrem ServiceNowInstanz und lokaler Administrator auf dem Hostcomputer.

    Warum und wann dieser Vorgang ausgeführt wird

    Warnung:
    Ruft Zertifizierungsberechtigungsschlüssel von einer vertrauenswürdigen Zertifizierungsstelle ab.

    Standardmäßig werden bei der Offenlegung der Docker-API keine Anforderungen authentifiziert, wodurch Ihr Hostcomputer angreifbar für Angriffe bleiben kann. Docker-API unterstützt jedoch die TLS-Authentifizierung, bei der Anforderungen anhand öffentlicher privater Schlüssel verifiziert werden, die in der HTTPS-Verschlüsselung bereitgestellt werden. In diesem Schritt erstellen Sie diese Schlüssel für den Server und den Client.

    Tipp:
    Um die Erinnerung an diese zu erleichtern, geben Sie die folgenden Befehle in Ihr Linux-Terminal ein. Hinweis : Fügen Sie diese Umgebungsvariablen Ihrem Terminal-Profil nicht hinzu. Aus Sicherheitsgründen sollten sie nur für die Dauer der aktuellen Sitzung vorhanden sein.
    • PASSWORT exportieren="<Passwort, mit dem die Zertifikate generiert werden sollen>"
    • SERVER-IP="<IP-Adresse dieses Servers>" exportieren
    • HOSTNAME=„<Hostname dieses Servers>“ exportieren
    Weitere Informationen finden Sie unter Verwenden Sie TLS (HTTPS), um den Docker-Daemon-Socket zu schützen .

    Prozedur

    1. Öffnen Sie eine Befehlszeile.
    2. Generieren Sie einen selbstsignierten Zertifizierungsstellenzschlüssel, oder rufen Sie ein Schlüsselpaar von einer vertrauenswürdigen Zertifizierungsstelle ab.
      Die folgenden Befehle sind ein Beispiel. Beachten Sie, dass Ihre Konfiguration variieren kann.
      • openssl genrsa -aes256 -Passout Pass:$PASSWORD -out CA-key.pem 4096
      • openssl REQ -Passin Pass:$PASSWORD -New -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
      • Chmod 0400 ca-key.pem
      • Chmod 0444 CA.pem
    3. Generieren Sie das Serverschlüsselpaar mithilfe des Zertifizierungsschlüssels.
      Die folgenden Befehle sind ein Beispiel. Beachten Sie, dass Ihre Konfiguration variieren kann.
      • openssl genrsa -out Server-key.pem 4096
      • openssl REQ – Subj „/CN=$HOSTNAME“ – New -key Server-key.pem -out Server.csr
      • Echo „subjektAltName = DNS:$HOSTNAME,IP:$SERVERIP,IP:127.0,0.1“ > extfile.cnf
      • openssl x509 – Passin Pass:$PASSWORD -req -days 365 -in Server.csr -CA.pem -Cakey CA-key.pem -CAcreateserial -out Server-cert.pem -extfile.cnf
    4. Erstellen Sie das Client-Schlüsselpaar mithilfe des Zertifizierungsschlüssels.
      Die folgenden Befehle sind ein Beispiel. Beachten Sie, dass Ihre Konfiguration variieren kann.
      • openssl genrsa -out Client-key.pem 4096
      • openssl REQ – Subj „/CN=$HOSTNAME“ – New -key Client-key.pem -out Client.csr
      • Echo „extendedKeyUsage = clientAuth“ > extfile.cnf
      • openssl x509 – Passin Pass:$PASSWORD -req -days 365 -in Client.csr -CA.pem -Cakey CA-key.pem -CAcreateserial -out Client-cert.pem -extfile.cnf

      Jetzt haben Sie alle Ihre Verschlüsselungsschlüssel erstellt.

    5. Importieren Sie den öffentlichen CA-Schlüssel und das Clientschlüsselpaar in einen Java-Schlüsselspeicher.
      Die folgenden Befehle sind ein Beispiel. Beachten Sie, dass Ihre Konfiguration variieren kann.

      Erstellen Sie die Schlüsselspeicherdatei, und erstellen Sie ein Passwort dafür (und speichern Sie sie zur späteren Verwendung): Keytool -genkey -keyalg RSA -alias dse -Keystore my.Keystore

      Löschen Sie einen Standardeintrag aus der Schlüsselspeicherdatei: Keytool -delete -alias dse -Keystore my.Keystore

      Importieren Sie den öffentlichen CA-Schlüssel in den Schlüsselspeicher: Keytool -Import -Schlüsselspeicher my.Schlüsselspeicher -Trustcacerts -alias CA -file ca.pem

      Importieren Sie das Client-Schlüsselpaar.
      Hinweis:
      Sie erstellen eine neue pkcs12-Schlüsselspeicherdatei und importieren das Schlüsselpaar darin. Kopieren Sie dann den Inhalt in Ihre ursprüngliche Schlüsselspeicherdatei.
      • openssl pkcs12 -Export -Name clientkeypair -in Client-cert.pem -inkey Client-key.pem -out clientkeypair.p12
      • Keytool -importkeystore -destkeystore my.Keystore -srckeystore clientkeypair.p12 -srcstoretype pkcs12 -alias clientkeypair

      Nachdem Sie nun alle Zertifikate zur Schlüsselspeicherdatei hinzugefügt haben, speichern Sie die Datei Mein.Schlüsselspeicher Für später, da es in hochgeladen wird ServiceNowInstanz. Merken Sie sich außerdem das Passwort, das Sie eingegeben haben, wenn Sie zum Erstellen der Schlüsselspeicherdatei aufgefordert wurden. Sie müssen dies in ein Formular in eingeben ServiceNowInstanz.