Configurar autenticação mTLS para um MID Web Server

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Aumente a segurança na extensão MID Web Server habilitando a autenticação mTLS.

    Antes de Iniciar

    Certifique-se de ter habilitado a Segurança da camada de transporte (TLS) no agente. Para obter detalhes, consulte Conectar o agente ao MID Server usando mTLS.

    Certifique-se de que o parâmetro insecure-skip-tls-verify no arquivo de configuração acc.yml esteja definido como falso. Para obter detalhes sobre o arquivo acc.yml, consulte Opções do arquivo de configuração.

    Função necessária: agent_client_collector_admin

    Por Que e Quando Desempenhar Esta Tarefa

    A extensão MID Web Server pesquisa os seguintes locais (na ordem especificada) para acessar o local e a senha do armazenamento confiável:
    • Local do armazenamento confiável: a mid.webserver.truststore.path propriedade do sistema JVM.

      Se essa propriedade estiver vazia, a extensão recuperará o local da javax.net.ssl.trustStore propriedade do sistema JVM.

      Se nenhum local for especificado, o local do armazenamento confiável será padronizado para o caminho absoluto do arquivo cacerts do JRE que executa o MID Server.

    • Senha do armazenamento confiável: o campo Senha do armazenamento confiável no formulário de extensão na instância.

      Se esse campo estiver vazio, o sistema recuperará a senha da javax.net.ssl.trustStorePassword propriedade do sistema JVM.

      Se nenhum local for especificado, o padrão da senha será changeit.

    Procedimento

    1. Navegue até a pasta raiz do seu MID Server.
    2. Execute o seguinte comando para adicionar seu certificado ao armazenamento confiável do MID: 
      ./jre/bin/keytool -importcert -file /etc/pki/ca-trust/source/anchors/labcacert.pem -destkeystore ./jre/lib/security/cacerts -alias mtlsca
    3. Insira changeit quando uma senha for solicitada.
    4. Selecione sim na janela da mensagem de confirmação para indicar que você confia no certificado.
    5. Execute o seguinte comando para verificar se o certificado foi adicionado com sucesso ao armazenamento confiável do MID. 
      ./jre/bin/keytool -list -keystore ./jre/lib/security/cacerts -alias mtlsca
    6. Insira changeit quando uma senha for solicitada.
    7. No arquivo de configuração de substituição de wrapper MID Server (wrapper-override.conf, localizado no diretório inicial/conf do MID Server), configure a revogação de certificados de cliente na propriedade mid.webserver.cert.revocation.check.enabled.
      • Se você tiver um certificado interno personalizado, defina como falso adicionando a seguinte linha ao arquivo conf/wrapper-override.conf no MID Server:
        wrapper.java.additional.4=-Dmid.webserver.cert.revocation.check.enabled=false
      • Ao habilitar esta propriedade (verdadeira), configure a propriedade mid.webserver.ocsp.responder.url com a URL do respondente do OCSP. Este valor substitui qualquer URL incorporado no certificado.
    8. Se você alterou as propriedades no arquivo de configuração de substituição do wrapper, reinicie o MID Server.
    9. Em sua instância ServiceNow®, acesse o registro MID Server e altere o valor do campo Tipo de autenticação para mTLS.
    10. Reinicie o MID Web Server.
    11. Verifique se o MID Web Server e o endpoint do websocket estão ativos e em execução.

    O que Fazer Depois

    Conectar o agente ao MID Server usando mTLS.