Politiques de vérification des certificats de Serveur MID

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 6 minutes de lecture

    • Serveur MID utilise trois types de contrôles de sécurité pour sécuriser le trafic externe. Les contrôles de sécurité utilisent la validation des certificats TLS/SSL, la validation du nom d’hôte et la validation OCSP pour améliorer la sécurité. Contrôlez ces contrôles de sécurité à l’aide de la table Politiques de vérification des certificats de Serveur MID.

    Indicateur de configuration pour la phase de sécuritéAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauTélécharger et installer le MID Server sur un hôte Linux ou WindowsConfigurer votre MID ServerConfigurer la sécurité du MID ServerAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauTélécharger et installer le MID Server sur un hôte Linux ou WindowsConfigurer votre MID ServerConfigurer la sécurité du MID Server

    Validation des certificats TLS/SSL

    La sécurité du chiffrement TLS/SSL utilise le chiffrement asymétrique, également appelé chiffrement à clé publique. Ce chiffrement utilise deux clés cryptographiques : la clé publique et la clé privée. La clé publique est utilisée pour le chiffrement des données et est visible publiquement. La clé privée est utilisée pour le déchiffrement des données et sa sécurité est essentielle pour vérifier l’authenticité. Pour plus d’informations sur la préparation de votre réseau, consultez Serveur MID Politique de vérification des certificats TLS/SSL Informations sur la mise à niveau pour la version Quebec [KB0867397].

    Lors de la validation d’un certificat TLS/SSL, le serveur MID tente de se connecter à un serveur Web sécurisé par un certificat TLS ou SSL. Le serveur Web envoie une copie de son certificat TLS/SSL au serveur MID. Le serveur MID vérifie l’authenticité du certificat et envoie un message au serveur Web. Le serveur Web répond par une acceptation signée numériquement pour l’initiation d’une session cryptée TLS/SSL. Après quoi, le serveur MID peut commencer une communication chiffrée avec le serveur Web.

    Validation du nom d’hôte

    La vérification du nom d’hôte est une partie de HTTPS qui implique une vérification de l’identité du serveur pour s’assurer que le client parle au bon serveur. Cette vérification empêche d’envoyer des informations à un serveur après avoir été redirigé par une attaque de l’homme du milieu.

    La vérification consiste à vérifier que le dnsName du certificat envoyé par le serveur correspond à l’URL utilisée pour effectuer la demande. Selon la RFC 6125, la vérification du nom d’hôte doit être effectuée par rapport au champ dNSName du certificat subjectAlternativeName. Dans certaines implémentations héritées, la vérification est effectuée par rapport au champ commonName du certificat. Si les noms ne correspondent pas, la connexion est interrompue.

    Remarque :
    La validation du nom d’hôte dérive le nom d’hôte du certificat validé présenté par le serveur. Par conséquent, la validation du certificat TLS est une condition préalable à la validation du nom d’hôte.

    Protocole OCSP (Online Certificate Status Protocol)

    OCSP implique de contacter le serveur d’autorité de certification distant et de vérifier le certificat avant que le serveur MID ne communique davantage avec le serveur cible. Les certificats compromis peuvent constituer une vulnérabilité de sécurité, surtout si ces certificats ont la capacité de signer d’autres certificats. Si les certificats ont été cassés ou falsifiés, une autorité de certification peut indiquer à un client quels certificats ne sont pas valides et ne doivent pas être utilisés.

    Un répondeur OCSP (un serveur généralement géré par l’émetteur du certificat) renvoie une réponse signée indiquant que le certificat est « bon », « révoqué » ou « inconnu ». S’il ne peut pas traiter la demande, il peut renvoyer un code d’erreur.

    L’émetteur du certificat peut déléguer une autre autorité pour être l’intervenant OCSP. Cela crée une chaîne de certificats qui doivent être vérifiés. L’attestation du répondant doit être délivrée par l’émetteur de la certification en question. Le certificat de l’intervenant doit inclure une certaine extension qui le marque comme un pouvoir de signature OCSP.

    Remarque :
    Les vérifications OCSP sont des appels HTTP secondaires effectués vers un répondeur OCSP. L’appel principal peut interrompre la connexion en fonction de la réponse du répondeur OCSP.

    Politique de sécurité de MID Server

    Les politiques de sécurité du serveur MID contrôlent l’ensemble du trafic HTTPS en provenance du serveur MID. Cela inclut les connexions HTTPS du serveur MID à un point de terminaison Internet, les URL ServiceNow, les points de terminaison intranet ainsi que les points de terminaison cloud.

    Politiques de vérification des certificats

    Ces connexions peuvent être classées en 4 politiques de sécurité :

    Politique de point de terminaison ServiceNow
    Cette politique est la politique système par défaut exclusivement pour les URL ServiceNow. Sur la config.xml du Serveur MID, il existe des propriétés d’amorce qui ne sont utilisées que pour établir la première connexion à l’instance et qui seront mises à jour avec la politique de system_default.
    Politique d’Internet
    Ces politiques couvrent toutes les connexions HTTPS initiées à partir de Serveur MID vers n’importe quel point de terminaison sur Internet.
    Politique intranet
    Ces stratégies couvrent les sous-réseaux IP réservés, tels que les réseaux auto-hébergés.
    Politique remplacée
    Vous pouvez remplacer des points de terminaison ou des URL spécifiques avec cette définition de politique. Les politiques remplacées prennent l’ordre de priorité le plus élevé pendant le fonctionnement.

    Les deux tables sont modifiables pour inclure ou exclure des plages IP et contrôler le type de vérifications de validation de certificat à effectuer. Activez tous les contrôles de validation de certificat pour maximiser la sécurité. La version Quebec a toutes les politiques et les vérifications activées par défaut pour les nouvelles installations.

    Pour la mise à niveau des clients, les contrôles de validation de certificat sont désactivés par défaut dans la stratégie intranet. Pour améliorer la sécurité, configurez et activez la politique pour les points de terminaison au sein du réseau interne.
    Remarque :
    Les points de terminaison internes ou les URL doivent posséder un certificat valide signé par l’autorité de certification pour une connexion réussie.

    Pour les points de terminaison qui hébergent un certificat auto-signé, importez le certificat dans le magasin de clés de confiance de Serveur MID ou désactivez les contrôles de politique qui valident cet hôte. Pour plus d’informations sur l’ajout de certificats, reportez-vous à la section Ajouter des certificats SSL pour le serveur MID.

    Après la mise à niveau vers Quebec, accédez à la table des politiques de vérification des certificats et apportez des modifications à la configuration des politiques si nécessaire. Une fois que le Serveur MID démarre et se connecte à l’instance, toute connexion HTTPS ultérieure provenant du Serveur MID commence à appliquer ces vérifications de certificat lors de l’exécution. Les connexions non sécurisées sont interrompues avec des messages d’erreur appropriés.

    Utiliser la politique de sécurité de l’instance

    Le paramètre de configuration du Serveur MID mid.ssl.use.instance.security.policy contrôle si le Serveur MID utilise ses paramètres d’amorce plutôt que la politique de sécurité de l’instance. Par défaut, mid.ssl.use.instance.security.policy est défini sur false dans le config.xml afin que les politiques d’amorce ne soient pas remplacées par celles de l’instance.

    Ce paramètre par défaut peut éviter certains problèmes lors de la configuration de Serveur MID. Par exemple, si l’hôte ne parvient pas à joindre le répondeur OCSP, une nouvelle installation de MID Server n’est pas perturbée par la stratégie d’une instance qui exige une connexion OCSP.

    Le paramètre de configuration mid.ssl.use.instance.security.policy peut être défini pour chaque serveur MID. Lorsqu’il est défini sur vrai, le serveur MID synchronise toutes les politiques avec l’instance et les paramètres de configuration d’amorce sont remplacés par la politique *.servicenow.com sur la table de mid_cert_check_policy d’instance. Les politiques finales mettent à jour la carte de stratégie dans la mémoire du serveur MID ainsi que le config.xml.

    Les paramètres par défaut du config.xml sont les suivants :
    • <nom du paramètre="mid.ssl.bootstrap.default.check_cert_hostname » value="vrai"/>
    • <nom du paramètre="mid.ssl.bootstrap.default.check_cert_chain » value="vrai"/>
    • <nom du paramètre="mid.ssl.bootstrap.default.check_cert_revocation » value="faux"/>
    • <nom de paramètre="mid.ssl.use.instance.security.policy » value="faux"/>

    Les instances auto-hébergées ou sur site doivent ajouter le paramètre suivant pour le config.xml : <nom de paramètre = « mid.ssl.bootstrap.default.target_endpoint » valeur = « FQDN_OF_THE_INSTANCE"/>