Aktivieren Sie die gegenseitige Authentifizierung für MID Server

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 5 Minuten Lesedauer

    • Konfigurieren Sie den MID Server so, dass ein Client-Zertifikat für die Authentifizierung bei der Instanz verwendet wird. Dadurch müssen keine Basic Authentication-Anmeldeinformationen im Schlüsselspeicher für die Konfiguration des MID Servers erstellt werden.

    Vorbereitungen

    Erforderliche Rolle: admin

    Setup-Indikator für SicherheitsphaseSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurierenSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurieren

    Warum und wann dieser Vorgang ausgeführt wird

    Die gegenseitige MID Server-Authentifizierung entfernt den MID Server-Benutzernamen und das Passwort und stellt ein Client-Zertifikat für die Authentifizierung bereit. Immer wenn ein Server eine Authentifizierung anfordert, wird stattdessen dieses Zertifikat gesendet. Um die gegenseitige Authentifizierung zu verwenden, muss die zertifikatbasierte Authentifizierung aktiviert sein. Informationen zum Verfahren finden Sie unter Zertifikatsbasierte Authentifizierung einrichten.

    Wenn ein neuer MID Server mit gegenseitiger Authentifizierung erstellt wird, werden Fähigkeiten nicht automatisch hinzugefügt. Ein Administrator muss seinem Datensatz in der Instanz Fähigkeiten hinzufügen. Vorhandene MID Server mit Standardauthentifizierung mit -Fähigkeiten bleiben jedoch erhalten, wenn zur gegenseitigen Authentifizierung gewechselt wird.

    Ein MID Server mit gegenseitiger Authentifizierung kann nicht als UI-Aktion in der Instanz neu eingegeben oder validiert werden.

    Selbstsignierte Zertifikate werden bei gegenseitiger Authentifizierung nicht unterstützt. Intern signierte Zertifikate werden nur unterstützt, wenn sie von einer privaten Zertifizierungsstelle signiert sind. Kommerziell signierte Zertifikate werden unterstützt, wenn sie von einer allgemein vertrauenswürdigen Zertifizierungsstelle signiert werden, z. B. solchen, der Browser und Betriebssysteme vertrauen.

    Im Quebec-Release kann ein MID Server, der die Anwendung Health Log Analytics verwendet, nicht mit gegenseitiger Authentifizierung konfiguriert werden.

    Prozedur

    1. Wenden Sie sich an den Support von ServiceNow, um die gegenseitige Authentifizierung auf dem MID Server anzufordern.
    2. Rufen Sie ein Zertifikat und einen privaten Schlüssel von einer angesehenen Zertifizierungsstelle ab.

      Die gegenseitige Authentifizierung von MID Servern unterstützt nur das PEM-Bundle-Format und den privaten Schlüssel im PCKS#8-Format. Das Paket muss sowohl den privaten Schlüssel als auch das Zertifikat enthalten. Öffnen Sie das Zertifikat mit einem Texteditor, und prüfen Sie, ob es im Textformat vorliegt. Die Kopf- und Fußzeile der PEM-Syntax lautet wie folgt:

       -----BEGIN CERTIFICATE----- 
       -----END CERTIFICATE-----
      Das Paket enthält die richtige Formatierung sowie den privaten Schlüssel und das Zertifikat.

      Sie können den Inhalt eines PEM-Zertifikats mit dem OpenSSL -Befehl unter Linux oder Windows wie folgt lesen: openedssl x509 -in cert.crt -text . Der private Schlüssel muss im PKCS#8-Format vorliegen. Die Kopf- und Fußzeile der PKCS#8-Syntax lautet wie folgt:

       -----BEGIN PRIVATE KEY----- 
       -----END PRIVATE KEY-----

      Sie können den Inhalt eines privaten Schlüssels unter Linux oder Windows mit dem OpenSSL -Befehl wie folgt überprüfen: openedssl rsa -in private.key -check

      Hinweis:
      Wenn Ihr Zertifikat nicht im PKCS#8-Format vorliegt, erhalten Sie eine Fehlermeldung: - main SEVERE *** ERROR *** Gültiger privater Schlüssel konnte nicht gefunden werden
    3. Navigieren Sie in der Instanz zu sys_user_certificate.list.
    4. Erstellen Sie einen neuen Datensatz.
      Hinweis:
      Der Datensatz muss den Namen des MID Servers haben, und die Benutzerrolle muss MID Serverlauten.
    5. Hängen Sie das Zertifikat an den Datensatz an.
      Der Anhang befindet sich in der oberen Ecke des Datensatzes.
      Hinweis:
      Stellen Sie sicher, dass die angehängte Datei nur das Zertifikat enthält.
    6. Wahlweise: Wenn der MID Server ausgeführt wird, stoppen Sie den MID Server.
    7. Führen Sie auf dem MID Server-Hostcomputer die folgenden Befehle aus, um das Zertifikat und den privaten Schlüssel zu installieren und zu verwalten.

      Führen Sie das Skript aus dem Stammverzeichnis des Agent-Verzeichnisses aus, da es die JAR-Dateien im Klassenpfad erfordert. Das Sicherheitsverzeichnis wird dann im Stammordner des Agent erstellt und vom MID Server verwendet. Beispiel: bin/scripts/manage-certificates.bat -m.

      manage-certificates hat die folgenden Funktionen, und die Skripts müssen aus dem Agent-Ordner ausgeführt werden.
      Gegenseitige Authentifizierung aktivieren​

      Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -m.

      Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -m.

      Gegenseitige Authentifizierung entfernen und Standardauthentifizierung wiederherstellen

      Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -b <myUserName myPassword>.

      Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -b <myUserName myPassword>.

      Neue Zertifikate und Zertifikatketten mit einem angegebenen Alias hinzufügen​

      Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -a <alias> <fileName>.

      Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -a <alias> <fileName>.

      Der Alias ist ein eindeutiger Name für das zu importierende Zertifikat. Der MID Server erfordert ein benutzerdefiniertes Zertifikat für die gegenseitige Authentifizierung mit dem Standardaliasnamen defaultsecuritykeypairhandle. Um die MTLS-Kommunikation zwischen dem MID Server und der Instanz zu konfigurieren, muss der Zertifikateintrag dem Schlüsselspeicher mit dem Aliasnamen defaultsecuritykeypairhandle hinzugefügt werden.

      fileName ist ein Dateipfad, der ein PEM-Zertifikat oder eine Zertifikatkette und einen privaten PCKS#8-Schlüssel enthalten kann. Der Dateipfad zum PEM-Bundle kann mehrere Zertifikate und einen einzelnen privaten Schlüssel enthalten. Die Kopf- und Fußzeile jedes PEM-Zertifikats muss wie folgt lauten:

       -----BEGIN CERTIFICATE----- 
       -----END CERTIFICATE-----

      Die Kopf- und Fußzeile der PKCS#8-Syntax müssen wie folgt lauten:

       -----BEGIN PRIVATE KEY----- 
       -----END PRIVATE KEY-----

      Eine Ausnahme wird ausgelöst, wenn die Validierung der Zertifikatkette fehlschlägt. Wenn die Datei mehrere Zertifikate enthält, müssen diese entsprechend geordnet sein: untergeordnetes Zertifikat, Zwischenzertifikate, dann Stammzertifikate.

      Zertifikatdetails für den angegebenen Alias anzeigen

      Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -g <alias>.

      Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -g <alias> .

      Dieser Befehl zeigt Informationen wie den eindeutigen Antragstellernamen, den Ausstellernamen und das Ablaufdatum aus dem Zertifikat an.

      Alle vorhandenen Aliasse auflisten

      Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -l.

      Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -l.

      Dieser Befehl listet alle Aliasnamen auf, die in agent_keystore verfügbar sind.

      Zertifikate mit einem Alias löschen​

      Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -d <alias>.

      Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -d <alias>.

      Dieser Befehl löscht den Alias und den Datensatz aus dem Schlüsselspeicher. Der Eintrag für Alias DefaultSecurityKeyPairHandle kann mit diesem Befehl gelöscht werden.

      Alle Einträge aus dem Schlüsselspeicher entfernen

      Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -r ​

      Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -r.

      Dieser Befehl löscht die vorhandenen Einträge aus dem Schlüsselspeicher, mit Ausnahme von Alias DefaultSecurityKeyPairHandle. ​

    8. Starten Sie den MID Server.