Générer des certificats pour la configuration du navigateur sans en-tête pour Linux

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Générez des certificats TLS/SSL pour sécuriser l’API REST Docker et authentifier les requêtes HTTP.

    Avant de commencer

    Remplissez les conditions préalables répertoriées dans la Configuration du navigateur sans en-tête pour Linux rubrique.

    Rôle requis : administrateur sur votre ServiceNow instance et administrateur local sur l’ordinateur hôte.

    Pourquoi et quand exécuter cette tâche

    Avertissement :
    Obtenez les clés d’autorité de certification auprès d’une autorité de certification approuvée.

    Par défaut, lors de l’exposition de l’API Docker, les demandes ne sont pas authentifiées, ce qui peut rendre votre ordinateur hôte vulnérable aux attaques. L’API Docker, cependant, prend en charge l’authentification TLS où les demandes sont vérifiées par rapport aux clés privées publiques fournies dans le cryptage HTTPS. Dans cette étape, vous créez ces clés pour le serveur et le client.

    Conseil :
    Pour faciliter la mémorisation, entrez les commandes suivantes dans votre terminal Linux. Remarque : n’ajoutez pas ces variables d’environnement à votre profil de terminal. Pour des raisons de sécurité, ils ne doivent exister que pour la durée de la session en cours.
    • exporter PASSWORD="<mot de passe pour générer les certificats avec> »
    • exporter SERVERIP="<adresse IP de ce serveur> »
    • exporter HOSTNAME="<nom d’hôte de ce serveur> »
    Pour en savoir plus, consultez Utiliser TLS (HTTPS) pour protéger le socket démon Docker.

    Procédure

    1. Ouvrez une ligne de commande.
    2. Générez une clé d’autorité de certification auto-signée ou récupérez une paire de clés auprès d’une autorité de certification approuvée.
      Les commandes suivantes sont un exemple. Notez que votre configuration peut varier.
      • OpenSSL Genrsa -AES256 -Passout Pass :$PASSWORD -out CA-Key.PEM 4096
      • OpenSSL req -passin pass :$PASSWORD -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
      • CHMOD 0400 ca-key.pem
      • CHMOD 0444 CA.PEM
    3. Générez la paire de clés du serveur à l’aide de la clé de l’autorité de certification.
      Les commandes suivantes sont un exemple. Notez que votre configuration peut varier.
      • openssl genrsa -out server-key.pem 4096
      • openssl req -subj « /CN=$HOSTNAME » -new -key server-key.pem -out server.csr
      • echo « subjectAltName = DNS :$HOSTNAME,IP :$SERVERIP,IP :127.0.0.1 » > extfile.cnf
      • openssl x509 -passin pass :$PASSWORD -req -days 365 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf
    4. Créez la paire de clés client à l’aide de la clé de l’autorité de certification.
      Les commandes suivantes sont un exemple. Notez que votre configuration peut varier.
      • openssl genrsa -out client-key.pem 4096
      • openssl req -subj « /CN=$HOSTNAME » -new -key client-key.pem -out client.csr
      • echo « extendedKeyUsage = clientAuth » > extfile.cnf
      • openssl x509 -passin pass :$PASSWORD -req -days 365 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out client-cert.pem -extfile extfile.cnf

      Vous avez maintenant créé toutes vos clés de chiffrement.

    5. Importez la clé publique CA et la paire de clés client dans un magasin de clés Java.
      Les commandes suivantes sont un exemple. Notez que votre configuration peut varier.

      Créez le fichier keystore et créez un mot de passe pour celui-ci (et enregistrez-le pour une utilisation ultérieure) : keytool -genkey -keyalg RSA -alias dse -keystore my.keystore

      Supprimez une entrée par défaut du fichier keystore : keytool -delete -alias dse -keystore my.keystore

      Importez la clé publique CA dans le magasin de clés : keytool -import -keystore my.keystore -trustcacerts -alias ca -file ca.pem

      Importez la paire de clés du client.
      Remarque :
      Vous créez un nouveau fichier de magasin de clés pkcs12 et importez la paire de clés dans celui-ci. Copiez ensuite le contenu dans votre fichier de magasin de clés d’origine.
      • openssl pkcs12 -export -name clientkeypair -in client-cert.pem -inkey client-key.pem -out clientkeypair.p12
      • keytool -importkeystore -destkeystore my.keystore -srckeystore clientkeypair.p12 -srcstoretype pkcs12 -alias clientkeypair

      Maintenant que vous avez ajouté tous les certificats au fichier keystore, enregistrez le fichier my.keystore pour plus tard, car il sera téléchargé sur l’instance ServiceNow . De plus, assurez-vous de vous souvenir du mot de passe que vous avez saisi lorsque vous êtes invité à créer le fichier keystore ; Vous devrez saisir cela dans un formulaire dans l’instance ServiceNow .