Configurer l’authentification réciproque

Rversion finale: Zurich

Mis à jour 31 juil. 2025

4 minutes de lecture

L’authentification réciproque établit la confiance en échangeant des certificats SSL (Secure Sockets Layer).

Lors de la poignée de main SSL, le serveur présente son certificat au client. Par la suite, en fonction de la configuration du serveur, il peut demander un certificat au client. Le serveur et le client exécutent des procédures de validation de certificat pour garantir l’authenticité et l’intégrité des certificats présentés.

Après une validation réussie, les accusés de réception sont échangés avant le lancement de la connexion HTTPS.

Remarque :

Pour plus d’informations sur l’utilisation d’un profil de protocole HTTPS personnalisé pour activer l’authentification réciproque, reportez-vous à la section Create a protocol profile.

Les administrateurs effectuent le travail préliminaire de configuration du magasin de clés client et de génération des certificats avant que les demandes de certification ne soient satisfaites.

Avertissement :

Cette fonctionnalité active uniquement l’authentification réciproque sur les connexions https sortantes.

Création du magasin de clés

L’instance prend actuellement en charge le chargement d’un fichier Java Key Store, qui contient une clé privée et une paire de certificats publics, le certificat public inclut une chaîne complète, y compris le certificat racine.

Pour configurer votre magasin de clés client :

Vous avez besoin d’un certificat signé par une autorité de certification (CA) approuvée.
Votre fournisseur de point de terminaison d’API peut vous aider à générer le magasin de clés.

Si vous devez générer le magasin de clés, le processus implique plusieurs étapes à l’aide de commandes d’interface de ligne de commande pour générer un nouveau fichier de magasin de clés, créer une demande de signature de certificat (CSR) et importer des certificats signés. Avant d’importer le certificat principal de votre domaine, tous les certificats racines ou intermédiaires doivent d’abord être importés. Voici une instruction étape par étape :

Générez un magasin de clés Java et une paire de clés.

keytool -genkey -alias mydomain -keyalg RSA -keystore my.keystore

Générez une CSR pour un magasin de clés Java existant.

keytool -certreq -alias mydomain -keystore my.keystore -file mydomain.csr

Envoyez la CSR à votre signataire autorisé d’autorité de certification pour signer et renvoyer les fichiers de certificat, qui comprennent les certificats intermédiaires et racines, ainsi que le certificat signé.
Importez un certificat d'autorité de certification (CA) racine ou intermédiaire dans un magasin de clés Java existant.
```
keytool -import -trustcacerts -alias root -file Thawte.crt -keystore my.keystore
```
Remarque :
Vous pouvez regrouper tous les certificats dans un seul fichier et les importer. C’est une option préférable. Si vous procédez de cette façon, vous pouvez ignorer 5
```
keytool -import -alias mydomain -file merged.crt -keystore my.keystore
```

Importez un certificat primaire signé dans un magasin de clés Java existant.

keytool -import -trustcacerts -alias mydomain -file mydomain.crt -keystore my.keystore

Configuration du magasin de clés

Maintenant que le magasin de clés a été créé, il peut être téléchargé dans la table Certificats. Sur le Définition du système > Certificats , cliquez sur Nouveau et définissez les champs suivants :

Entrez un nom de certificat.
Stockez le magasin de clés en tant qu’actif.
Définir le type = Magasin de clés Java.
Fournissez un mot de passe de magasin de clés. Il s’agit du mot de passe utilisé pour créer le magasin de clés.

Cliquez sur Soumettre pour créer l’entrée Java Key Store.

Spécification d’un certificat de serveur de confiance

Lors d’une connexion SSL sortante, qui est un appel de service web HTTPS, il est possible de spécifier un certificat fourni par le fournisseur de service qui assure la validité du fournisseur de service pendant la connexion SSL. Par exemple, un navigateur qui tente de se connecter à un service sécurisé et qui s’identifie par un certificat.

En chargeant le certificat de serveur approuvé, ServiceNow assurez-vous que le service auquel il se connecte est valide et sécurisé.

Créez une nouvelle entrée de certificat avec le type de « Certificat de magasin de confiance » et joignez un certificat au format DER, ou copiez-collez son format PEM dans le champ Certificat PEM .

Profil du protocole

Lorsqu'un client demande le certificat du serveur pour l'authentification, une demande de signature de certificat (CSR) est générée.
Pour répondre à une CSR, le serveur génère deux clés cryptographiques uniques : une clé publique, qui est utilisée pour chiffrer les messages vers le serveur et une clé privée, qui est utilisée pour déchiffrer les messages. Les deux clés sont conservées dans le magasin de clés.
Les clés sont utilisées pour déchiffrer les messages sécurisés du client afin qu’ils puissent être lus par le serveur. Toute connexion sortante au format HTTPS vérifie la certification en vérifiant le magasin de clés, en offrant sa certification publique, et utilise les certificats du magasin de clés de confiance pour vérifier la confiance mutuelle.
Pour compléter le lien sécurisé entre le client et le serveur, le serveur associe le certificat à la clé privée correspondante. Étant donné que seul le serveur a accès à la clé privée, il peut déchiffrer les données du client.

Remarque :

Pour plus d’informations sur l’utilisation d’un profil de protocole HTTPS personnalisé pour activer l’authentification réciproque, reportez-vous à la section Create a protocol profile.

Le serveur répond en envoyant un certificat. S’agit-il d’un certificat accepté par le client ? Si oui, un message d’acceptation du certificat est envoyé au serveur et un canal sécurisé est initié. Si le certificat n’est pas accepté, cela peut signifier que l’autorité racine est nécessaire pour la certification.