Configure a autenticação MTLS para um MID Web Server

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 1 min. de leitura

    • Aumente a segurança no MID Web ServerExtensão habilitando a autenticação MTLS.

    Antes de Iniciar

    Certifique-se de ter habilitado a Segurança da camada de transporte (TLS) no agente. Para obter detalhes, consulte Conecte o agente ao MID ServerUsando MTLS.

    Certifique-se de que insecure-skip-tls-verifyparâmetro no acc.yml o arquivo de configuração está definido como falso . Para obter detalhes sobre acc.yml arquivo, consulte ../../agent-client-collector/reference/acc-yml-options.html.

    Função necessária: agent_client_collector_admin

    Por Que e Quando Desempenhar Esta Tarefa

    . MID Web Servera extensão pesquisa os seguintes locais (na ordem especificada) para acessar o local e a senha do truststore:
    • Local do truststore: O. mid.webserver.truststore.pathPropriedade do sistema JVM.

      Se essa propriedade estiver vazia, a extensão recuperará o local do javax.net.ssl.trustStorePropriedade do sistema JVM.

      Se nenhum local for especificado, o local do truststore assumirá como padrão o caminho absoluto do cacerts Arquivo do JRE que executa o. MID Server.

    • Senha do truststore: O. Senha do truststore campo no formulário de extensão na instância.

      Se esse campo estiver vazio, o sistema recupera a senha do javax.net.ssl.trustStorePasswordPropriedade do sistema JVM.

      Se nenhum local for especificado, a senha será padronizada como changeit.

    Procedimento

    1. Navegue até a pasta raiz do MID Server.
    2. Execute o seguinte comando para adicionar seu certificado ao armazenamento de confiança DO MID: 
      ./jre/bin/keytool -importcert -file /etc/pki/ca-trust/source/anchors/labcacert.pem -destkeystore ./jre/lib/security/cacerts -alias mtlsca
    3. Insira mude quando solicitada uma senha.
    4. Selecione sim na janela de mensagem de confirmação para indicar que você confia no certificado.
    5. Execute o comando a seguir para verificar se seu certificado foi adicionado com sucesso ao armazenamento de confiança DO MID. 
      ./jre/bin/keytool -list -keystore ./jre/lib/security/cacerts -alias mtlsca
    6. Insira mude quando solicitada uma senha.
    7. Em MID Serverarquivo de configuração de substituição do wrapper ( wrapper-override.conf , localizado em home/conf diretório do MID Server), configure a revogação de certificados de cliente no mid.webserver.cert.revocation.check.enabledpropriedade.
      • Se você tiver um certificado interno personalizado, defina como falso adicionando a seguinte linha ao conf/wrapper-override.conf Arquivo no MID Server:
        wrapper.java.additional.4=-Dmid.webserver.cert.revocation.check.enabled=false
      • Ao habilitar esta propriedade ( verdadeiro ), configure o. mid.webserver.ocsp.responder.urlPropriedade com o URL do respondente do OCSP. Este valor substitui qualquer URL incorporado no certificado.
    8. Se você tiver alterado as propriedades no arquivo de configuração de substituição do wrapper, reinicie o. MID Server.
    9. Em seu ServiceNow®instância, acesse o. MID Serverregistre e altere o valor de Tipo de autenticação campo para MTLS .
    10. Reinicie o MID Web Server.
    11. Verifique se MID Web Servere o endpoint do websocket estão em execução.

    O que Fazer Depois

    Conecte o agente ao MID ServerUsando MTLS.