Aktivieren Sie die gegenseitige Authentifizierung des MID-Servers

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 5 Minuten Lesedauer

    • Konfigurieren Sie den MID-Server so, dass ein Clientzertifikat für die Authentifizierung bei der Instanz verwendet wird. Dadurch wird vermieden, dass im Schlüsselspeicher Anmeldeinformationen für die Standardauthentifizierung für die Konfiguration des MID-Servers erstellt werden müssen.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Einrichtungsindikator für SicherheitsphaseSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurierenSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurieren

    Warum und wann dieser Vorgang ausgeführt wird

    Die gegenseitige Authentifizierung VON MID-Server entfernt den MID-Server-Anwendernamen und das Passwort und stellt ein Clientzertifikat für die Authentifizierung bereit. Wenn ein Server eine Authentifizierung anfordert, wird stattdessen dieses Zertifikat gesendet. Zur Verwendung der gegenseitigen Authentifizierung muss die zertifikatbasierte Authentifizierung aktiviert sein. Siehe Richten Sie die zertifikatbasierte Authentifizierung ein Für das Verfahren.

    Wenn ein neuer MID-Server mit gegenseitiger Authentifizierung erstellt wird, werden Funktionen nicht automatisch hinzugefügt. Ein Administrator muss seinem Datensatz in der Instanz Fähigkeiten hinzufügen. Vorhandene MID-Server mit Standardauthentifizierung mit Funktionen werden jedoch beibehalten, wenn zur gegenseitigen Authentifizierung gewechselt wird.

    Ein MID-Server mit gegenseitiger Authentifizierung kann nicht als UI-Aktion für die Instanz erneut eingegeben oder validiert werden.

    Selbstsignierte Zertifikate werden bei der gegenseitigen Authentifizierung nicht unterstützt. Intern signierte Zertifikate werden nur unterstützt, wenn sie von einer privaten Zertifizierungsstelle signiert wurden. Kommerziell signierte Zertifikate werden unterstützt, wenn sie von einer allgemein vertrauenswürdigen Zertifizierungsstelle signiert werden, z. B. von Browsern und Betriebssystemen vertrauenswürdige Zertifikate.

    Im Quebec-Release kann ein MID-Server, der die Integritätsprotokollanalyse verwendet, nicht mit gegenseitiger Authentifizierung konfiguriert werden.

    Prozedur

    1. Wenden Sie sich an den ServiceNow-Support, um die gegenseitige Authentifizierung auf dem MID-Server anzufordern.
    2. Erhalten Sie ein Zertifikat und einen privaten Schlüssel von einer anerkannten Zertifizierungsstelle.

      Die gegenseitige Authentifizierung des MID-Servers unterstützt nur das PEM-Paketformat und den privaten Schlüssel im PCKS#8-Format. Das Paket muss sowohl den privaten Schlüssel als auch das Zertifikat enthalten. Öffnen Sie das Zertifikat mit einem Texteditor, und überprüfen Sie, ob es im Textformat vorliegt. Die Header- und Fußzeile der PEM-Syntax lautet wie folgt:

       -----BEGIN CERTIFICATE----- 
       -----END CERTIFICATE-----
      Das Paket enthält die richtige Formatierung sowie den privaten Schlüssel und das Zertifikat.

      Sie können den Inhalt eines PEM-Zertifikats mit lesen openssl Befehl unter Linux oder Windows wie folgt: openssl x509 – in cert.crt – Text . Der private Schlüssel muss das PKCS#8-Format aufweisen. Die Header- und Fußzeile der PKCS#8-Syntax lautet wie folgt:

       -----BEGIN PRIVATE KEY----- 
       -----END PRIVATE KEY-----

       Sie können den Inhalt eines privaten Schlüssels mit überprüfen openssl Befehl unter Linux oder Windows wie folgt: openssl rsa – in private.key – prüfen

      Hinweis:
      Wenn Ihr Zertifikat nicht im PKCS#8-Format vorliegt, wird ein Fehler angezeigt: – SCHWERWIEGENDER HAUPTFEHLER *** *** – kein gültiger privater Schlüssel gefunden
    3. Teilen Sie das PEM-Zertifikat in 3 verschiedene PEM-Dateien auf.
      1. Privater Schlüssel und Blattzertifikat
      2. Blattzertifikat
      3. Zwischenzertifikate und Stammzertifikat
    4. Laden Sie in der Instanz die Datei mit den Zwischen- und Stammzertifikaten in die Tabelle „CA-Zertifikatkette“ hoch: sys_CA_certificate.list .
      Hinweis:
      Wenn Sie einzeln anstelle eines Bündels hochladen, beginnen Sie mit dem Stammzertifikat und dann mit den Zwischenzertifikaten. Es ist vorzuziehen, diese Datei als PEM-Paket hochzuladen, dessen Typ auf CA-Zertifikat festgelegt ist, anstatt sie in mehrere Dateien aufzuteilen.
    5. Überprüfen Sie den hochgeladenen CA-Zertifizierungsdatensatz in der Instanz, und warten Sie auf Veröffentlichungsstatus Um in zu ändern Ist Vorhanden .
      Hinweis:
      Fahren Sie erst fort, wenn der Veröffentlichungsstatus auf aktualisiert wurde Ist Vorhanden .
    6. Navigieren Sie in der -Instanz zu sys_user_certificate.list .
    7. Hängen Sie nur das Blattzertifikat an sys_user_certificate.list Ohne den privaten Schlüssel.
    8. Wenn der MID-Server validiert ist, erklären Sie den MID-Server für ungültig, bevor Sie fortfahren.
    9. Erstellen Sie einen neuen Datensatz.
      Hinweis:
      Der Datensatz muss den Namen des MID-Servers und den enthalten Anwenderrolle Muss sein MID-Server .
    10. Hängen Sie das ursprüngliche, aufgeteilte PEM-Zertifikat an den Datensatz an.
      Der Anhang befindet sich in der oberen Ecke des Datensatzes.
      Hinweis:
      Stellen Sie sicher, dass die angehängte Datei nur das Zertifikat enthält.
    11. Wenn der MID-Server ausgeführt wird, halten Sie den MID-Server an.
    12. Führen Sie auf dem MID-Server-Hostcomputer die folgenden Befehle aus, um das Zertifikat und den privaten Schlüssel zu installieren und zu verwalten.

      Führen Sie das Skript aus dem Stamm des Agent-Verzeichnisses aus, da die JAR-Dateien im Klassenpfad erforderlich sind. Das Sicherheitsverzeichnis wird dann im Stammordner des Agent erstellt und vom MID-Server verwendet. Beispiel: Bin/Skripts/manage-certificates.bat -m.

      Die manage-certificatesHat die folgenden Funktionen, und die Skripts müssen im Agent-Ordner ausgeführt werden.
      Gegenseitige Authentifizierung aktivieren​

      Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -m.

      Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -m.

      Gegenseitige Authentifizierung entfernen und Standardauthentifizierung wiederherstellen

      Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -b <myUserName myPassword>.

      Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -b <myUserName myPassword>.

      Neue Zertifikate und Zertifikatketten mit einem angegebenen Alias hinzufügen​

      Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -a <alias> <fileName>.

      Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -a <alias> <fileName>.

      Die Alias Ist ein eindeutiger Name für das zu importierende Zertifikat. Der MID Server erfordert ein benutzerdefiniertes Zertifikat für die gegenseitige Authentifizierung mit dem Standardaliasnamen defaultsecuritykeypairhandle. Um die MTLS-Kommunikation zwischen dem MID Server und der Instanz zu konfigurieren, muss der Zertifikateintrag dem Schlüsselspeicher mit dem Aliasnamen defaultsecuritykeypairhandle hinzugefügt werden.

      Die Dateiname Ist ein Dateipfad, der ein PEM-Zertifikat oder eine Zertifikatkette und einen privaten PCKS#8-Schlüssel enthalten kann. Der Dateipfad zum PEM-Bundle kann mehrere Zertifikate und einen einzelnen privaten Schlüssel enthalten. Die Kopf- und Fußzeile jedes PEM-Zertifikats muss wie folgt lauten:

       -----BEGIN CERTIFICATE----- 
       -----END CERTIFICATE-----

      Die Kopf- und Fußzeile der PKCS#8-Syntax müssen wie folgt lauten:

       -----BEGIN PRIVATE KEY----- 
       -----END PRIVATE KEY-----

      Eine Ausnahme wird ausgelöst, wenn die Validierung der Zertifikatkette fehlschlägt. Wenn die Datei mehrere Zertifikate enthält, müssen diese entsprechend geordnet sein: untergeordnetes Zertifikat, Zwischenzertifikate, dann Stammzertifikate.

      Zertifikatdetails für den angegebenen Alias anzeigen

      Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -g <alias>.

      Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -g <alias> .

      Dieser Befehl zeigt Informationen wie den eindeutigen Antragstellernamen, den Ausstellernamen und das Ablaufdatum aus dem Zertifikat an.

      Alle vorhandenen Aliasse auflisten

      Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -l.

      Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -l.

      Dieser Befehl listet alle Aliasnamen auf, die in agent_keystore verfügbar sind.

      Zertifikate mit einem Alias löschen​

      Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -d <alias>.

      Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -d <alias>.

      Dieser Befehl löscht den Alias und den Datensatz aus dem Schlüsselspeicher. Der Eintrag für Alias DefaultSecurityKeyPairHandle kann mit diesem Befehl gelöscht werden.

      Alle Einträge aus dem Schlüsselspeicher entfernen

      Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -r ​

      Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -r.

      Dieser Befehl löscht die vorhandenen Einträge aus dem Schlüsselspeicher, mit Ausnahme von Alias DefaultSecurityKeyPairHandle. ​

    13. Starten Sie den MID-Server.