mTLS-Authentifizierung für einen MID-Webserver konfigurieren

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Verbessern Sie die Sicherheit in der MID-Webserver erweiterung, indem Sie die mTLS-Authentifizierung aktivieren.

    Vorbereitungen

    Stellen Sie sicher, dass Sie Transport Layer Security (TLS) für den Service Desk-Mitarbeiter aktiviert haben. Details finden Sie unter Verbinden Sie den Service Desk-Mitarbeiter mit dem MID-Server MTLS wird verwendet.

    Stellen Sie sicher, dass insecure-skip-tls-verifyParameter in acc.yml Konfigurationsdatei ist auf festgelegt Falsch . Für Details zu acc.yml Datei, siehe ../../agent-client-collector/reference/acc-yml-options.html.

    Erforderliche Rolle: agent_client_collector_admin

    Warum und wann dieser Vorgang ausgeführt wird

    Die MID-Webserver Die Erweiterung durchsucht die folgenden Standorte (in der angegebenen Reihenfolge), um auf den Truststore-Speicherort und das Passwort zuzugreifen:
    • Truststore-Speicherort: Die JVM-Systemeigenschaft mid.webserver.truststore.path.

      Wenn diese Eigenschaft leer ist, wird von der Erweiterung der Speicherort aus der JVM-Systemeigenschaft javax.net.ssl.trustStore abgerufen.

      Wenn kein Speicherort angegeben ist, wird standardmäßig der absolute Pfad der cacerts-Datei der JRE verwendet, auf der der MID-Server ausgeführt wird.

    • Truststore-Passwort: Das Feld Truststore-Passwort im Erweiterungsformular in der Instanz.

      Wenn dieses Feld leer ist, wird vom System das Passwort aus der JVM-Systemeigenschaft javax.net.ssl.trustStorePassword abgerufen.

      Wenn kein Speicherort angegeben ist, lautet das Passwort standardmäßig changeit.

    Prozedur

    1. Navigieren Sie zum Stammordner von MID-Server.
    2. Führen Sie den folgenden Befehl aus, um Ihr Zertifikat dem MID Trust Store hinzuzufügen: 
      ./jre/bin/keytool -importcert -file /etc/pki/ca-trust/source/anchors/labcacert.pem -destkeystore ./jre/lib/security/cacerts -alias mtlsca
    3. Geben Sie Ein Änderung Wenn Sie zur Eingabe eines Passworts aufgefordert werden.
    4. Wählen Sie Aus ja Im Bestätigungsnachrichtenfenster, um anzugeben, dass Sie dem Zertifikat vertrauen.
    5. Führen Sie den folgenden Befehl aus, um sicherzustellen, dass Ihr Zertifikat erfolgreich dem MID-Truststore hinzugefügt wurde. 
      ./jre/bin/keytool -list -keystore ./jre/lib/security/cacerts -alias mtlsca
    6. Geben Sie Ein Änderung Wenn Sie zur Eingabe eines Passworts aufgefordert werden.
    7. In MID-Server Wrapper-Konfigurationsdatei überschreiben ( Wrapper-override.conf , Befindet sich in Startseite/Konf. Verzeichnis von MID-Server), konfigurieren Sie den Widerruf von Clientzertifikaten in mid.webserver.cert.revocation.check.enabledEigenschaft.
      • Wenn Sie ein anwenderdefiniertes internes Zertifikat haben, legen Sie auf fest Falsch Durch Hinzufügen der folgenden Zeile zu Conf/Wrapper-override.conf Datei auf dem MID-Server:
        wrapper.java.additional.4=-Dmid.webserver.cert.revocation.check.enabled=false
      • Beim Aktivieren dieser Eigenschaft ( Wahr ), konfigurieren Sie mid.webserver.ocsp.responder.urlEigenschaft mit der OCSP-Responder-URL. Dieser Wert überschreibt jede im Zertifikat eingebettete URL.
    8. Wenn Sie Eigenschaften in der Konfigurationsdatei für die Wrapper-Überschreibung geändert haben, starten Sie den MID-Server neu.
    9. Auf Ihrem ServiceNow®-Instanz, greifen Sie auf zu MID-Server Zeichnen Sie den Wert von auf, und ändern Sie ihn Authentifizierungstyp Feld bis MTLs .
    10. Starten Sie neu MID-Webserver.
    11. Überprüfen Sie, ob MID-Webserver Und websocket-Endpunkt werden ausgeführt.

    Nächste Maßnahme

    Verbinden Sie den Service Desk-Mitarbeiter mit dem MID-Server MTLS wird verwendet.