MID 서버 상호 인증 사용

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 읽기6분

    • 인스턴스 인증에 클라이언트 인증서를 사용하도록 MID 서버를 구성합니다. 따라서 MID 서버 구성을 위해 키 스토어에 기본 인증 자격 증명을 만들 필요가 없습니다.

    시작하기 전에

    필요한 역할: admin

    보안 단계에 대한 설정 표시기MID 서버가 네트워크 내부 및 외부의 요소에 연결할 수 있는지 확인Linux 또는 Windows 호스트에서 MID 서버를 다운로드 및 설치MID 서버 구성MID 서버 보안 구성MID 서버가 네트워크 내부 및 외부의 요소에 연결할 수 있는지 확인Linux 또는 Windows 호스트에서 MID 서버를 다운로드 및 설치MID 서버 구성MID 서버 보안 구성

    이 태스크 정보

    MID Server 상호 인증은 MID Server 사용자 이름 및 암호를 제거하고 인증을 위해 클라이언트 인증서를 제공합니다. 서버가 인증을 요청할 때마다 이 인증서가 대신 전송됩니다. 상호 인증을 사용하려면 인증서 기반 인증을 사용하도록 설정해야 합니다. 절차는 인증서 기반 인증 설정을 참조하십시오.

    상호 인증을 사용하여 새 MID 서버를 만든 경우 기능이 자동으로 추가되지 않습니다. 관리자는 인스턴스의 기록에 기능을 추가해야 합니다. 그러나 기능이 있는 기본 인증을 사용하는 기존 MID Server는 상호 인증으로 전환할 때 유지됩니다.

    상호 인증을 사용하는 MID 서버는 인스턴스에서 UI 동작으로 키를 다시 입력하거나 검증할 수 없습니다.

    자체 서명된 인증서는 상호 인증에서 지원되지 않습니다. 내부적으로 서명된 인증서는 사설 인증 기관에서 서명한 경우에만 지원됩니다. 상업적으로 서명된 인증서는 일반적으로 신뢰할 수 있는 인증 기관(예: 브라우저 및 운영 체제에서 신뢰하는 인증 기관)에서 서명할 때 지원됩니다.

    Quebec 릴리스에서 상태 로그 분석 애플리케이션을 사용하는 MID 서버는 상호 인증으로 구성할 수 없습니다.

    프로시저

    1. MID Server에서 상호 인증을 요청하려면 ServiceNow 지원에 문의하십시오.
    2. 신뢰할 수 있는 인증 기관에서 인증서와 개인 키를 가져옵니다.

      MID 서버 상호 인증은 PEM 번들 형식과 PCKS#8 형식의 개인 키만 지원합니다. 번들에는 개인 키와 인증서가 모두 있어야 합니다. 텍스트 편집기를 사용하여 인증서를 열고 텍스트 형식인지 확인합니다. PEM 구문의 머리글과 바닥글은 다음과 같습니다.

       -----BEGIN CERTIFICATE----- 
       -----END CERTIFICATE-----
      번들에는 올바른 형식과 개인 키 및 인증서가 모두 포함되어 있습니다.

      Linux 또는 Windows에서 openssl 명령을 사용하여 PEM 인증서의 내용을 읽을 수 있습니다. openssl x509 -in cert.crt -text . 개인 키는 PKCS#8 형식이어야 합니다. PKCS#8 구문의 머리글과 바닥글은 다음과 같습니다.

       -----BEGIN PRIVATE KEY----- 
       -----END PRIVATE KEY-----

      다음과 같이 Linux 또는 Windows에서 openssl 명령을 사용하여 개인 키의 내용을 확인할 수 있습니다. openssl rsa -in private.key -check

      주:
      인증서가 PKCS#8 형식이 아닌 경우 오류가 발생합니다. - main SEVERE *** ERROR *** 유효한 개인 키를 찾을 수 없습니다.
    3. 인스턴스에서 sys_user_certificate.list로 이동합니다.
    4. 새 기록을 생성합니다.
      주:
      레코드에는 MID 서버의 이름이 있어야 하며 사용자 역할은MID 서버여야 합니다.
    5. 기록에 인증서를 첨부합니다.
      첨부 파일은 기록의 상단 모서리에 있습니다.
      주:
      첨부된 파일에 인증서만 포함되어 있는지 확인합니다.
    6. 옵션: MID 서버가 실행 중이면 MID 서버를 중지합니다.
    7. MID 서버 호스트 컴퓨터에서 다음 명령을 실행하여 인증서와 개인 키를 설치하고 관리합니다.

      클래스 경로에 jar 파일이 필요하므로 에이전트 디렉토리의 루트에서 스크립트를 실행합니다. 그런 다음 보안 디렉터리가 에이전트 루트 폴더에 만들어지고 MID 서버에서 사용됩니다. 예: bin/scripts/manage-certificates.bat -m.

      manage-certificates에는 다음과 같은 기능이 있으며 스크립트는 에이전트 폴더에서 실행해야 합니다.
      상호 인증 활성화​

      Windows의 경우 bin/scripts/management-certificates.bat -m 명령을 사용합니다.

      Linux의 경우 .bin/scripts/manage-certificates.sh -m 명령을 사용합니다.

      상호 인증 제거 및 기본 인증 복구

      Windows의 경우 bin/scripts/manage-certificates.bat -b <myUserName myPassword> 명령을 사용합니다.

      Linux의 경우 .bin/scripts/manage-certificates.sh -b <myUserName myPassword> 명령을 사용합니다.

      지정된 별칭으로 새 인증서 및 인증서 체인 추가​

      Windows의 경우 bin/scripts/manage-certificates.bat -a <alias> <fileName> 명령을 사용합니다.

      Linux의 경우 ./bin/scripts/manage-certificates.sh -a <alias> <fileName> 명령을 사용합니다.

      별칭은 임포트할 인증서에 지정된 고유한 이름입니다. MID 서버에는 기본 별칭 이름 defaultsecuritykeypairhandle과 함께 상호 인증을 위한 사용자 지정 인증서가 필요합니다. MID 서버와 인스턴스 간의 MTLS 통신을 구성하려면 별칭 이름 defaultsecuritykeypairhandle을 사용하여 인증서 항목을 키 저장소에 추가해야 합니다.

      fileName은 PEM 인증서 또는 인증 체인 및 PCKS#8 개인 키를 포함하는 파일 경로입니다. PEM 번들에 대한 파일 경로에는 여러 인증서와 단일 개인 키가 포함될 수 있습니다. 각 PEM 인증서의 헤더와 바닥글은 다음과 같아야 합니다.

       -----BEGIN CERTIFICATE----- 
       -----END CERTIFICATE-----

      PKCS#8 구문의 헤더와 바닥글은 다음과 같아야 합니다.

       -----BEGIN PRIVATE KEY----- 
       -----END PRIVATE KEY-----

      인증서 체인이 확인에 실패하면 예외가 발생합니다. 파일에 여러 인증서가 포함되어 있는 경우 리프 인증서, 중간 인증서, 루트 인증서 순서여야 합니다.

      지정된 별칭에 대한 인증서 상세 정보 표시

      Windows의 경우 bin/scripts/manage-certificates.bat -g <alias> ​ 명령을 사용합니다.

      Linux의 경우 ./bin/scripts/manage-certificates.sh -g <alias> ​ 명령을 사용합니다.

      이 명령은 인증서의 주체 고유 이름, 발급자 이름 및 만료 날짜와 같은 정보를 표시합니다.

      모든 기존 별칭 나열

      Windows의 경우 bin/scripts/manage-certificates.bat -l 명령을 사용합니다.

      Linux의 경우 ./bin/scripts/manage-certificates.sh -l 명령을 사용합니다.

      이 명령은 agent_keystore에서 사용할 수 있는 모든 별칭 이름을 나열합니다.

      별칭을 사용하여 인증서 삭제​

      Windows의 경우 bin/scripts/manage-certificates.bat -d <alias> 명령을 사용합니다.

      Linux의 경우 ./bin/scripts/manage-certificates.sh -d <alias> 명령을 사용합니다.

      이 명령은 키 저장소에서 별칭과 기록을 삭제합니다. 이 명령을 사용하여 별칭 DefaultSecurityKeyPairHandle 항목을 삭제할 수 있습니다.

      키 저장소에서 모든 항목 제거

      Windows의 경우 bin/scripts/manage-certificates.bat -r ​ 명령을 사용합니다.

      Linux의 경우 ./bin/scripts/manage-certificates.sh -r​ 명령을 사용합니다.

      이 명령은 별칭 DefaultSecurityKeyPairHandle을 제외하고 키 저장소에서 기존 항목을 삭제합니다.

    8. MID 서버를 시작합니다.