Gerar certificados para configuração do navegador sem cabeça para Linux

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • Gere certificados TLS/SSL para proteger a REST API do Docker e autenticar solicitações HTTP.

    Antes de Iniciar

    Preencha os pré-requisitos listados em Configuração do navegador sem periféricos para Linuxtópico.

    Função necessária: administrador em seu ServiceNowadministrador local e da instância na máquina host.

    Por Que e Quando Desempenhar Esta Tarefa

    Aviso:
    Obtenha chaves de autoridade de certificação de uma autoridade de certificação confiável.

    Por padrão, ao expor a API Docker, as solicitações não são autenticadas, o que pode deixar sua máquina host vulnerável a ataques. A API Docker, no entanto, oferece suporte à autenticação TLS em que as solicitações são verificadas em relação a chaves públicas privadas fornecidas na criptografia HTTPS. Nesta etapa, você cria essas chaves para o servidor e o cliente.

    Dica:
    Para facilitar a memorização, insira os seguintes comandos no terminal Linux. Observação : Não adicione essas variáveis de ambiente ao seu perfil de terminal. Por motivos de segurança, eles só devem existir durante a sessão atual.
    • "Senha DE exportação para gerar os certificados com>"
    • "Endereço IP deste servidor>"
    • Nome de host de exportação
    Para saber mais, consulte Use TLS (HTTPS) para proteger o soquete do daemon Docker .

    Procedimento

    1. Abra uma linha de comando.
    2. Gere uma chave de autoridade de certificação autoassinada ou recupere um par de chaves de uma autoridade de certificação confiável.
      Os comandos a seguir são um exemplo. Observe que sua configuração pode variar.
      • openssl genrsa -aes256 -passout pass 4096
      • openssl req -passin pass: -New -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
      • chmod 0400 ca-key.pem
      • chmod 0444 ca.pem
    3. Gere o par de chaves do servidor usando a chave da autoridade de certificação.
      Os comandos a seguir são um exemplo. Observe que sua configuração pode variar.
      • openssl genrsa -out server-key.pem 4096
      • openssl req -subj "/cn" -new -key server-key.pem -out server.csr
      • Nome de domínio: DNS: HOSTNAME,IP: SERVERIP,IP:127,0.0,1" > extfile.cnf
      • -Req -days 365 -in server.csr -ca.pem -cakey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf
    4. Crie o par de chaves do cliente usando a chave da autoridade de certificação.
      Os comandos a seguir são um exemplo. Observe que sua configuração pode variar.
      • openssl genrsa -out client-key.pem 4096
      • openssl req -subj "/cn" -new -key client-key.pem -out client.csr
      • "ExtendedKeyUsage: ClientAuth" > extfile.cnf
      • -Req -days 365 -in client.csr -ca.pem -cakey ca-key.pem -CAcreateserial -out client-cert.pem -extfile.cnf

      Agora, você criou todas as suas chaves de criptografia.

    5. Importe a chave pública da CA e o par de chaves do cliente para um armazenamento de chaves java.
      Os comandos a seguir são um exemplo. Observe que sua configuração pode variar.

      Crie o arquivo de armazenamento de chaves e crie uma senha para ele (e salve para uso posterior): Keytool -genkey -keyalg rsa -alias dse -keystore my.keystore

      Exclua uma entrada padrão do arquivo de armazenamento de chaves: keytool -delete -alias dse -keystore my.keystore

      Importe a chave pública da CA para o armazenamento de chaves: keytool -import -keystore my.keystore -trustcacerts -alias ca -file ca.pem

      Importe o par de chaves do cliente.
      Nota:
      Você está criando um novo arquivo de armazenamento de chaves pkcs12 e importando o par de chaves para ele. Em seguida, copie o conteúdo para o arquivo de armazenamento de chaves original.
      • openssl pkcs12 -export -name clientkeypair -in client-cert.pem -inkey client-key.pem -out clientkeypair.p12
      • keytool -importkeystore -destkeystore my.keystore -srckeystore clientkeypair.p12 -srcstoretype pkcs12 -alias clientkeypair

      Agora que você adicionou todos os certificados ao arquivo de armazenamento de chaves, salve o arquivo meu.armazenamento de chaves para mais tarde, pois ele será carregado no ServiceNowinstância. Além disso, lembre-se da senha que você inseriu quando solicitado a criar o arquivo de armazenamento de chaves; você precisará inseri-la em um formulário no ServiceNowinstância.