MID 웹 서버에 대한 mTLS 인증 구성

Yokohama IT 운영 관리

Release

yokohama

ft:locale

ko-KR

ft:publication_title

Yokohama IT 운영 관리

ft:clusterId

itom

bundleId

itom

workflow

Technology

MID 웹 서버에 대한 mTLS 인증 구성

릴리스 버전: Yokohama

업데이트 날짜 2025년 01월 30일

읽기2분

mTLS 인증을 활성화하여 MID 웹 서버 확장의 보안을 강화합니다.

에이전트에서 TLS(전송 계층 보안)를 사용하도록 설정했는지 확인합니다. 자세한 내용은 mTLS를 사용하여 에이전트를 MID 서버에 연결 문서를 참조하십시오.

acc.yml 구성 파일의 insecure-skip-tls-verify 매개변수가 false로 설정되어 있는지 확인합니다. acc.yml 파일에 대한 자세한 내용은 구성 파일 옵션 문서를 참조하십시오.

필요한 역할: agent_client_collector_admin

MID 웹 서버 확장은 지정된 순서로 다음 위치를 검색하여 신뢰 저장소 위치 및 암호에 액세스합니다.

신뢰 저장소 위치: mid.webserver.truststore.path JVM 시스템 속성입니다.
이 속성이 비어 있으면 확장은 javax.net.ssl.trustStore JVM 시스템 속성에서 위치를 검색합니다.
지정된 위치가 없으면 신뢰 저장소 위치는 기본적으로 MID 서버를 실행하는 JRE의 cacerts 파일의 절대 경로로 설정됩니다.
신뢰 저장소 암호: 인스턴스의 확장 양식에 있는 신뢰 저장소 암호 필드입니다.
해당 필드가 비어 있으면 시스템은 javax.net.ssl.trustStorePassword JVM 시스템 속성에서 암호를 검색합니다.
위치를 지정하지 않으면 암호가 기본적으로 changeit으로 지정됩니다.

다음 명령을 실행하여 MID 신뢰 저장소에 인증서를 추가합니다.

./jre/bin/keytool -importcert -file /etc/pki/ca-trust/source/anchors/labcacert.pem -destkeystore ./jre/lib/security/cacerts -alias mtlsca

암호를 입력하라는 메시지가 표시되면 changeit을 입력합니다.
확인 메시지 창에서 예를 선택하여 인증서를 신뢰함을 나타냅니다.
다음 명령을 실행하여 인증서가 MID 신뢰 저장소에 성공적으로 추가되었는지 확인합니다.
```
./jre/bin/keytool -list -keystore ./jre/lib/security/cacerts -alias mtlsca
```
암호를 입력하라는 메시지가 표시되면 changeit을 입력합니다.
MID 서버 래퍼 무효화 구성 파일(MID 서버의 home/conf 디렉터리에 위치한 wrapper-override.conf)에서 클라이언트가 제시한 인증서의 mid.webserver.cert.revocation.check.enabled 속성의 클라이언트 인증서 취소를 구성합니다.
- 사용자 지정 내부 인증서가 있는 경우 MID 서버의 conf/wrapper-override.conf 파일에 다음 줄을 추가하여 false로 설정합니다.
```
wrapper.java.additional.4=-Dmid.webserver.cert.revocation.check.enabled=false
```
- 이 속성을 활성화(true)할 경우 OCSP 응답자 URL로 mid.webserver.ocsp.responder.url 속성을 구성합니다. 이 값은 인증서에 포함된 모든 URL을 무효화합니다.
래퍼 무효화 구성 파일의 속성을 변경한 경우 MID 서버를 다시 시작합니다.
ServiceNow® 인스턴스에서 MID 서버 기록에 액세스하고 인증 유형 필드의 값을 mTLS로 변경합니다.
MID 웹 서버를 다시 시작합니다.
MID 웹 서버 및 웹소켓 엔드포인트가 실행 중인지 확인합니다.