mTLS を使用したエージェントの MID サーバーへの接続

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:4分

    • エージェントで mTLS 認証を設定する前に、トランスポートレイヤーセキュリティ (TLS) 認証の設定を有効にする一連のコマンドを実行する必要があります。

    始める前に

    次のタスクを実行していることを確認してください。
    1. キーと証明書の作成
    2. MID 統一キーストアに .pem ファイルをインストールして MID Web サーバーを設定する
    3. TLS を使用したエージェントの MID Web サーバーへの接続
    4. MID Web サーバー の mTLS 認証の構成
    5. mTLS を使用したエージェントの MID サーバーへの接続

    必要なロール:agent_client_collector_admin

    手順

    1. エージェントのキーを生成します。 
      openssl ecparam -out labacc/acc.key -name prime256v1 -genkey
    2. 次の形式に従って、エージェントの証明書要求を生成します。 
      openssl req -new -key labacc/acc.key -out labacc/acc.csr -subj "/C=<country>/ST=<state>/L=<location>/O=<organization>/OU=<organization unit>/CN=<cn abbreviation>/emailAddress=<email address>"

      例:

      openssl req -new -key labacc/acc.key -out labacc/acc.csr -subj "/C=US/ST=NC/L=Raleigh/O=ServiceNow/OU=ITOM Lab/CN=acclinux/emailAddress=john.smith@servicenow.com"
    3. エージェントの署名付き証明書を生成します。 
      openssl x509 -req -days 365 -in labacc/acc.csr -CA labca/labcacert.pem -CAkey labca/ec-labcakey.pem -CAcreateserial -extensions client -out labacc/acc.crt
    4. labacc フォルダで、キーファイルと証明書ファイルをエージェントホストの仮想マシンにコピーします。 
      cp ./acc.key <agent host config folder>
cp ./acc.crt <agent host config folder>

      構成フォルダのパスは、OS によって異なります。

      • Linux/etc/servicenow/agent-client-collector/
      • WindowsC:\ProgramData\servicenow\agent-client-collector\config\
      • macOS/Library/Application\ Support/servicenow/agent-client-collector/
    5. .key ファイルと .crt ファイルをコピーした場所に移動します。
    6. 次のコマンドを実行して、ファイルの読み取り権限を更新し、エージェントがファイルから読み取れるようにします。
      • Linux
        1. chown servicenow:servicenow acc.key
        2. chmod 0400 acc.key
      • Windows
        1. .key ファイルを選択して長押し (または右クリック) し、ファイルのプロパティから [セキュリティ] タブを選択します。
        2. ファイルへの読み取りアクセス権を持つユーザーのリストに servicenow ユーザーを追加します。
      • macOS
        1. chown _servicenow:_servicenow acc.key
        2. chmod 0400 acc.key
      注:
      エージェントは、デフォルトの servicenow ユーザーで実行する必要があります。
    7. acc.yml 構成ファイルに次のパラメーターを追加して、キーファイルと証明書ファイルへのパスを指定します。 
      key-file: "<path to acc.key file>/acc.key"
cert-file: "<path to acc.cert file>/acc.crt"
    8. エージェントを再起動します。
      • Linuxsystemctl restart acc
      • Windows
        1. サービスアプリケーションを開きます。
        2. エージェントクライアントコレクターのエントリを選択して長押し (または右クリック) し、[再起動 (Restart)] を選択します。
      • macOS
        1. launchctl unload -w /Library/LaunchDaemons/com.sn.acc.plist
        2. launchctl load -w /Library/LaunchDaemons/com.sn.acc.plist
    9. ログをチェックし、エージェントが TLS を使用してインスタンスに接続できたことを確認します。

      エージェントクライアントコレクターログには次の場所からアクセスできます。

      • Linux/var/log/servicenow/agent-client-collector/acc.log
      • Windowslog-file 構成フラグで指定された場所。デフォルトの場所は、C:/ProgramData/ServiceNow/agent-client-collector/log/acc.log です。

        C:/ProgramData」ディレクトリが非表示になっている場合 (古いバージョンの Windows など)、エクスプローラーのフィルターを変更して、非表示になっている要素を表示します。

      • macOS:デフォルトの場所は、「/Library/Application\ Support/servicenow/agent-client-collector/log/acc.log」です。