Habilitar autenticação mútua do MID Server

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 5 min. de leitura

    • Configure o MID Server para usar um certificado de cliente para autenticação na instância. Isso evita a necessidade de criar credenciais de autenticação básica no armazenamento de chaves para a configuração do MID Server.

    Antes de Iniciar

    Função necessária: administrador

    Configurar indicador para fase de segurançaGarantir que o MID Server pode se conectar a elementos dentro e fora da redeBaixar e instalar o MID Server em um host Linux ou WindowsConfigurar o seu MID ServerConfigurar a segurança do MID ServerGarantir que o MID Server pode se conectar a elementos dentro e fora da redeBaixar e instalar o MID Server em um host Linux ou WindowsConfigurar o seu MID ServerConfigurar a segurança do MID Server

    Por Que e Quando Desempenhar Esta Tarefa

    A autenticação mútua do MID Server remove o nome de usuário e a senha do MID Server e fornece um certificado de cliente para autenticação. Sempre que um servidor solicita autenticação, este certificado é enviado. Para usar a autenticação mútua, a autenticação baseada em certificado deve estar habilitada. Consulte Configuração da autenticação baseada em certificados para saber o procedimento.

    Se um novo MID Server for criado com autenticação mútua, ele não adicionará recursos automaticamente. Um administrador deve adicionar recursos ao seu registro na instância. No entanto, os MID Servers existentes que usam autenticação básica com habilidades são preservados ao alternar para a autenticação mútua.

    Um MID Server usando autenticação mútua não pode ser recriado ou validado como uma ação de IU na instância.

    Certificados autoassinados não são compatíveis com autenticação mútua. Certificados assinados internamente só são compatíveis quando assinados por uma autoridade de certificação privada. Certificados assinados comercialmente são compatíveis quando assinados por uma autoridade de certificação geralmente confiável, como as confiáveis por navegadores e sistemas operacionais.

    Na versão Quebec, um MID Server usando a aplicação Health Log Analytic não pode ser configurado com autenticação mútua.

    Procedimento

    1. Entre em contato com o suporte da ServiceNow para solicitar autenticação mútua no MID Server.
    2. Obtenha um certificado e uma chave privada de uma autoridade de certificação respeitada.

      A autenticação mútua do MID Server oferece suporte somente ao formato de pacote PEM e à chave privada no formato PCKS#8. O pacote deve ter a chave privada e o certificado. Abra o certificado usando um editor de texto e veja se ele está no formato de texto. O cabeçalho e o rodapé da sintaxe do PEM são:

       -----BEGIN CERTIFICATE----- 
       -----END CERTIFICATE-----
      O pacote contém a formatação correta e a chave privada e o certificado.

      Você pode ler o conteúdo de um certificado PEM usando o comando openssl no Linux ou no Windows da seguinte forma: openssl x509 -in cert.crt -text . A chave privada deve estar no formato PKCS#8. O cabeçalho e o rodapé da sintaxe do PKCS#8 são:

       -----BEGIN PRIVATE KEY----- 
       -----END PRIVATE KEY-----

      Você pode verificar o conteúdo de uma chave privada usando o comando openssl no Linux ou no Windows da seguinte forma: openssl rsa -in private.key -check

      Nota:
      Se o seu certificado não estiver no formato PKCS#8, você receberá um erro: - main SEVERE *** ERROR *** Could not find valid private key
    3. Na instância, navegue até sys_user_certificate.list.
    4. Crie um novo registro.
      Nota:
      O registro deve ter o nome do MID Server e a Função do usuário deve ser MID Server.
    5. Anexe o certificado ao registro.
      O anexo está no canto superior do registro.
      Nota:
      Certifique-se de que o arquivo anexado contenha apenas o certificado.
    6. Opcional: Se o MID Server estiver em execução, interrompa-o.
    7. Na máquina host do MID Server, execute os seguintes comandos para instalar e gerenciar o certificado e a chave privada.

      Execute o script da raiz do diretório do agente porque ele requer os arquivos jar no caminho da classe. O diretório de segurança é criado na pasta raiz do agente e é usado pelo MID Server. Por exemplo: bin/scripts/manage-certificates.bat -m.

      O manage-certificates tem as seguintes funções e os scripts devem ser executados a partir da pasta do agente.
      Permitir autenticação mútua​

      Para Windows, use o comando: bin/scripts/manage-Certificate.bat -m

      Para Linux, use o comando: ./bin/scripts/manage-certificates.sh -m

      Remover autenticação mútua e restaurar a autenticação básica

      Para Windows, use o comando: bin/scripts/manage-certificates.bat -b <myUserName myPassword>

      Para Linux, use o comando: ./bin/scripts/manage-certificates.sh -b <myUserName myPassword>

      Adicionar novos certificados e cadeias de certificação com um alias especificado​

      Para Windows, use o comando: bin/scripts/manage-certificates.bat -a <alias> <fileName>

      Para Linux, use o comando: ./bin/scripts/manage-certificates.sh -a <alias> <fileName>

      O alias é um nome exclusivo fornecido ao certificado que está sendo importado. O MID Server requer um certificado personalizado para autenticação mútua, com o alias padrão defaultsecuritykeypairhandle. Para configurar a comunicação MTLS entre o MID Server e a instância, a entrada do certificado deve ser adicionada ao armazenamento de chaves usando o alias defaultsecuritykeypairhandle.

      O fileName é um caminho de arquivo que pode conter um certificado PEM, ou cadeia de certificados, e uma chave privada PCKS#8. O caminho do arquivo para o pacote PEM pode conter vários certificados e uma única chave privada. O cabeçalho e o rodapé da sintaxe de cada certificado PEM devem ser os seguintes:

       -----BEGIN CERTIFICATE----- 
       -----END CERTIFICATE-----

      O cabeçalho e o rodapé da sintaxe do PKCS#8 devem ser os seguintes:

       -----BEGIN PRIVATE KEY----- 
       -----END PRIVATE KEY-----

      Uma exceção será lançada se a validação da cadeia de certificação falhar. Se o arquivo contiver vários certificados, eles deverão ser solicitados: certificado folha, certificados intermediários e certificados raiz.

      Exibir detalhes do certificado para o alias especificado

      Para Windows, use o comando: bin/scripts/manage-certificates.bat -g <alias> ​

      Para Linux, use o comando: ./bin/scripts/manage-certificates.sh -g <alias> ​

      Este comando exibe informações como nome diferenciado do assunto, nome do emissor e data de expiração do certificado.

      Listar todos os aliases existentes

      Para Windows, use o comando: bin/scripts/manage-certificates.bat -l

      Para Linux, use o comando: ./bin/scripts/manage-certificates.sh -l

      Este comando lista todos os aliases disponíveis em agent_keystore.

      Excluir certificados usando um alias​

      Para Windows, use o comando: bin/scripts/manage-certificates.bat -d <alias>

      Para Linux, use o comando: ./bin/scripts/manage-certificates.sh -d <alias>

      Este comando exclui o alias e o registro do armazenamento de chaves. A entrada do alias DefaultSecurityKeyPairHandle pode ser excluída usando este comando.

      Remover todas as entradas do armazenamento de chaves

      Para Windows, use o comando: bin/scripts/manage-certificates.bat -r ​

      Para Linux, use o comando: ./bin/scripts/manage-certificates.sh -r ​

      Este comando exclui as entradas existentes do armazenamento de chaves, exceto o alias DefaultSecurityKeyPairHandle.​

    8. Inicie o MID Server.