Configurer l'authentification mTLS pour une extension Serveur Web MID

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • Améliorez la sécurité de votre extension Serveur Web MID en activant l'authentification mTLS.

    Avant de commencer

    Assurez-vous d’avoir activé TLS (Transport Layer Security) sur l’agent. Pour plus de détails, voir Connecter l’agent à l’aide de Serveur MID mTLS.

    Assurez-vous que le insecure-skip-tls-verify paramètre dans le fichier de configuration de l’acc.yml est défini sur false. Pour plus d’informations sur le fichier acc.yml , reportez-vous à la section Options du fichier de configuration.

    Rôle requis : agent_client_collector_admin

    Pourquoi et quand exécuter cette tâche

    L’extension Serveur Web MID recherche les emplacements suivants (dans l’ordre spécifié) pour accéder à l’emplacement et au mot de passe du magasin de clés de confiance :
    • Emplacement du magasin de confiance : la propriété système JVM mid.webserver.truststore.path.

      Si cette propriété est vide, l'extension récupère l'emplacement à partir de la propriété système JVM javax.net.ssl.trustStore.

      Si aucun emplacement n'est spécifié, l'emplacement du magasin de confiance est défini par défaut sur le chemin d'accès absolu du fichier cacerts du JRE exécutant le Serveur MID.

    • Mot de passe du magasin de confiance : le champ Mot de passe du magasin de confiance sur le formulaire de l'extension dans l'instance.

      Si ce champ est vide, le système récupère le mot de passe à partir de la propriété système JVM javax.net.ssl.trustStorePassword.

      Si aucun emplacement n'est spécifié, le mot de passe est défini par défaut sur changeit.

    Procédure

    1. Accédez au dossier racine de votre Serveur MID.
    2. Exécutez la commande suivante pour ajouter votre certificat au magasin de confiance MID : 
      ./jre/bin/keytool -importcert -file /etc/pki/ca-trust/source/anchors/labcacert.pem -destkeystore ./jre/lib/security/cacerts -alias mtlsca
    3. Saisissez changeit lorsque vous êtes invité à entrer un mot de passe.
    4. Sélectionnez oui dans la fenêtre de message de confirmation pour indiquer que vous faites confiance au certificat.
    5. Exécutez la commande suivante pour vérifier que votre certificat a bien été ajouté au magasin de confiance MID. 
      ./jre/bin/keytool -list -keystore ./jre/lib/security/cacerts -alias mtlsca
    6. Saisissez changeit lorsque vous êtes invité à entrer un mot de passe.
    7. Dans le fichier de configuration de remplacement de couche Serveur MID (wrapper-override.conf, situé dans le répertoire home/conf de ), Serveur MIDconfigurez la révocation des certificats clients dans la mid.webserver.cert.revocation.check.enabled propriété.
      • Si vous avez un certificat interne personnalisé, définissez la valeur sur false en ajoutant la ligne suivante au fichier conf/wrapper-override.conf sur le serveur MID :
        wrapper.java.additional.4=-Dmid.webserver.cert.revocation.check.enabled=false
      • Lors de l’activation de cette propriété (vrai), configurez la mid.webserver.ocsp.responder.url propriété avec l’URL du répondeur OCSP. Cette valeur remplace toute URL incorporée dans le certificat.
    8. Si vous avez modifié les propriétés dans le fichier de configuration de remplacement de couche, redémarrez le Serveur MID.
    9. Sur votre ServiceNow® instance, accédez à l’enregistrement Serveur MID et modifiez la valeur du champ Type d’authentification en mTLS.
    10. Redémarrez le Serveur Web MID.
    11. Vérifiez que le point de Serveur Web MID terminaison et websocket sont opérationnels.

    Que faire ensuite

    Connecter l’agent à l’aide de Serveur MID mTLS.