Gerar certificados para configuração do navegador sem cabeça para Microsoft Windows

Zurich Crie ou modifique aplicações

Release

zurich

ft:locale

pt-BR

ft:publication_title

Zurich Crie ou modifique aplicações

ft:clusterId

cadev

bundleId

cadev

workflow

Development, Data, and Analytics

Gerar certificados para configuração do navegador sem cabeça para Microsoft Windows

Versão de lançamento: Zurich

Atualizado 31 de jul. de 2025

3 min. de leitura

Gere certificados TLS/SSL para proteger a REST API do Docker e autenticar solicitações HTTP.

Antes de Iniciar

Função necessária: administrador em seu ServiceNowadministrador local e da instância na máquina host.

Aviso:

A única versão de Microsoft Windowsisso ServiceNowO suporte como host é o Windows Server 2019 v10.0.17763,737. Nenhuma outra versão é compatível. Se você não conseguir atender a esses requisitos, um Linuxo host é recomendado.

Preencha os pré-requisitos listados em Configuração do navegador sem periféricos para Microsoft Windowstópico. Certifique-se de que os seguintes programas estejam instalados no Windowsservidor:
- Janela de encaixe: Aplicação Docker para Windows
- Java keytool: Ferramenta Chocolatey para javaruntime
- OpenSSL: Ferramenta Chocolatey para openssl

Observe os seguintes requisitos:

Comunicação bidirecional
Aviso:
Certifique-se de obter chaves de autoridade de certificação de uma autoridade de certificação confiável.
- Deve haver comunicação bidirecional entre o URL da instância e o servidor.
- Encontre o endereço IP do seu servidor e obtenha seu nome de host. Você pode usar um ou ambos, mas precisa de pelo menos um.
  Nota:
  Se você não tiver um nome de host e estiver se conectando por meio do endereço IP, insira o endereço IP e coloque "localhost" na variável de ambiente Nome de host.
Dica:
Para facilitar a lembrança, defina as seguintes variáveis de ambiente:
- "Senha DE exportação para gerar os certificados com>"
- "Endereço IP deste servidor>"
- Nome de host de exportação
Porta: Use a Porta 2376 ou sua própria porta padrão para este procedimento.
Nota:
Certifique-se de que as regras de firewall permitam solicitações de entrada nesta porta
Para saber mais, consulte Use TLS (HTTPS) para proteger o soquete do daemon Docker .

Por Que e Quando Desempenhar Esta Tarefa

Por padrão, ao expor a API Docker, as solicitações não são autenticadas, o que pode deixar sua máquina host vulnerável a ataques. A API Docker, no entanto, oferece suporte à autenticação TLS em que as solicitações são verificadas em relação a chaves públicas privadas fornecidas na criptografia HTTPS. Nesta etapa, você cria essas chaves para o servidor e o cliente.

Procedimento

Abra uma linha de comando.
Gere uma chave de autoridade de certificação autoassinada ou recupere um par de chaves de uma autoridade de certificação confiável.
Os comandos a seguir são um exemplo. Observe que sua configuração pode variar.
```
openssl genrsa -aes256 -passout pass:%PASSWORD% -out ca-key.pem 4096
openssl req -passin pass:%PASSWORD% -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem 
```

Gere o par de chaves do servidor usando a chave da autoridade de certificação.

Os comandos a seguir são um exemplo. Observe que sua configuração pode variar.

openssl genrsa -out server-key.pem 4096
openssl req -subj /CN=%HOSTNAME% -new -key server-key.pem -out server.csr
echo extendedKeyUsage = clientAuth > extfile.cnf
openssl x509 -passin pass:%PASSWORD% -req -days 365 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf

Crie o par de chaves do cliente usando a chave da autoridade de certificação.

Os comandos a seguir são um exemplo. Observe que sua configuração pode variar.

openssl genrsa -out client-key.pem 4096
openssl req -subj /CN=%HOSTNAME% -new -key client-key.pem -out client.csr
echo subjectAltName = DNS:%HOSTNAME%,IP:%SERVERIP%,IP:127.0.0.1 > extfile.cnf
openssl x509 -passin pass:%PASSWORD% -req -days 365 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out client-cert.pem -extfile extfile.cnf

Importe a chave pública da CA e o par de chaves do cliente para um armazenamento de chaves Java.
Estas instruções são um exemplo de que sua configuração pode variar.
Crie o arquivo de armazenamento de chaves e crie uma senha para ele (e salve para uso posterior): Keytool -genkey -keyalg rsa -alias dse -keystore my.keystore

Exclua uma entrada padrão do arquivo de armazenamento de chaves: keytool -delete -alias dse -keystore my.keystore

Nota:
Esta entrada é gerada automaticamente, s.o não é necessário.

Importe a chave pública da CA para o armazenamento de chaves: keytool -import -keystore my.keystore -trustcacerts -alias ca -file ca.pem

Importe o par de chaves do cliente.
Nota:
Você está criando um novo arquivo de armazenamento de chaves pkcs12 e importando o par de chaves para ele. Em seguida, copie o conteúdo para o arquivo de armazenamento de chaves original.
- openssl pkcs12 -export -name clientkeypair -in client-cert.pem -inkey client-key.pem -out clientkeypair.p12
- keytool -importkeystore -destkeystore my.keystore -srckeystore clientkeypair.p12 -srcstoretype pkcs12 -alias clientkeypair
Agora que você adicionou todos os certificados ao arquivo de armazenamento de chaves, salve o arquivo meu.armazenamento de chaves para mais tarde, pois ele será carregado no ServiceNowinstância. Além disso, lembre-se da senha que você inseriu quando solicitado a criar o arquivo de armazenamento de chaves; você precisará inseri-la em um formulário no ServiceNowinstância.