Conectar o agente ao MID Server usando mTLS

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Antes de configurar a autenticação mTLS no agente, você deve executar uma série de comandos que habilitam a configuração da autenticação TLS (Transport Layer Security).

    Antes de Iniciar

    Certifique-se de ter realizado as seguintes tarefas:
    1. Criar chaves e certificados
    2. Instale o arquivo .pem no armazenamento de chaves unificado do MID e configure o MID Web Server
    3. Conectar o agente ao MID Web Server usando TLS
    4. Configurar autenticação mTLS para um MID Web Server
    5. Conectar o agente ao MID Server usando mTLS

    Função necessária: agent_client_collector_admin

    Procedimento

    1. Gere uma chave para o seu agente. 
      openssl ecparam -out labacc/acc.key -name prime256v1 -genkey
    2. Gere uma solicitação de certificado para o seu agente, de acordo com o seguinte formato: 
      openssl req -new -key labacc/acc.key -out labacc/acc.csr -subj "/C=<country>/ST=<state>/L=<location>/O=<organization>/OU=<organization unit>/CN=<cn abbreviation>/emailAddress=<email address>"

      Por exemplo:

      openssl req -new -key labacc/acc.key -out labacc/acc.csr -subj "/C=US/ST=NC/L=Raleigh/O=ServiceNow/OU=ITOM Lab/CN=acclinux/emailAddress=john.smith@servicenow.com"
    3. Gere um certificado assinado para o seu agente. 
      openssl x509 -req -days 365 -in labacc/acc.csr -CA labca/labcacert.pem -CAkey labca/ec-labcakey.pem -CAcreateserial -extensions client -out labacc/acc.crt
    4. Na pasta labacc, copie os arquivos de chave e certificado para a máquina virtual do host do agente. 
      cp ./acc.key <agent host config folder>
cp ./acc.crt <agent host config folder>

      Os caminhos da pasta de configuração dependem do seu sistema operacional.

      • Linux: /etc/servicenow/agent-client-collector/
      • Windows: C:\ProgramData\servicenow\agent-client-collector\config\
      • macOS: /Biblioteca/aplicação\ Support/servicenow/agent-client-collector/
    5. Navegue até o local de onde você copiou os arquivos .key e .crt.
    6. Execute os seguintes comandos para atualizar as permissões de leitura dos arquivos e permitir que o agente os leia.
      • Linux:
        1. shownow_servicenow:servicenow acc.key
        2. chmod 0400 acc.key
      • Windows:
        1. Selecione e mantenha pressionado (ou clique com o botão direito do mouse) o arquivo .key e selecione a guia Segurança nas propriedades do arquivo.
        2. Adicione o usuário servicenow à lista de usuários com acesso de leitura ao arquivo.
      • macOS:
        1. _servicenow:_servicenow acc.key
        2. chmod 0400 acc.key
      Nota:
      O agente deve ser executado com o usuário padrão da ServiceNow.
    7. No arquivo de configuração acc.yml, adicione os seguintes parâmetros para especificar o caminho para os arquivos de chave e certificado. 
      key-file: "<path to acc.key file>/acc.key"
cert-file: "<path to acc.cert file>/acc.crt"
    8. Reinicie o agente.
      • Linux: conta de reinicialização systemctl
      • Windows:
        1. Abra a aplicação Serviços.
        2. Mantenha pressionada (ou clique com o botão direito do mouse) a entrada Agent Client Collector e selecione Reiniciar.
      • macOS:
        1. launchctlload -w /Library/LaunchDaemons/com.sn.acc.plist
        2. launchctl load -w /Library/LaunchDaemons/com.sn.acc.plist
    9. Verifique os logs para verificar se o agente conseguiu se conectar à instância usando TLS.

      Agent Client Collector logs podem ser acessados em:

      • Linux: /var/log/servicenow/agent-client-collector/acc.log
      • Windows: o local especificado pelo sinalizador de configuração do arquivo de log. O local padrão é: C:/ProgramData/ServiceNow/agent-client-collector/log/acc.log

        Se o diretório C:/ProgramData estiver oculto (como em versões mais antigas do Windows), altere o filtro do Explorer para mostrar elementos ocultos.

      • macOS: o local padrão é: /Library/Application\ Support/servicenow/agent-client-collector/log/acc.log