Zertifikatsprüfungsrichtlinien für MID Server

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 5 Minuten Lesedauer

    • MID Server verwendet drei Arten von Sicherheitsprüfungen, um den externen Datenverkehr zu sichern. Die Sicherheitsprüfungen verwenden TLS/SSL-Zertifikatvalidierung, Hostnamenvalidierung und OCSP-Validierung, um die Sicherheit zu verbessern. Steuern Sie diese Sicherheitsprüfungen mit der Tabelle „MID Server-Zertifikatprüfungsrichtlinien“.

    Setup-Indikator für SicherheitsphaseSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurierenSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurieren

    Validierung des TLS/SSL-Zertifikats

    Bei der TLS/SSL-Verschlüsselungssicherheit wird asymmetrische Verschlüsselung verwendet, die auch als Verschlüsselung mit öffentlichem Schlüssel bezeichnet wird. Diese Verschlüsselung verwendet zwei kryptografische Schlüssel: den öffentlichen Schlüssel und den privaten Schlüssel. Der öffentliche Schlüssel wird zur Verschlüsselung von Daten verwendet und ist öffentlich sichtbar. Der private Schlüssel wird zur Entschlüsselung von Daten verwendet und seine Sicherheit ist für die Überprüfung der Authentizität von entscheidender Bedeutung. Weitere Informationen zum Vorbereiten Ihres Netzwerks finden Sie unter MID-Server TLS/SSL-Zertifikatprüfungsrichtlinie Quebec – Upgrade-Informationen [KB0867397].

    Bei der TLS/SSL-Zertifikatvalidierung versucht der MID Server, eine Verbindung zu einem Webserver herzustellen, der mit einem TLS- oder SSL-Zertifikat gesichert ist. Der Webserver sendet eine Kopie seines TLS/SSL-Zertifikats an den MID Server. Der MID Server überprüft die Authentizität des Zertifikats und sendet eine Nachricht an den Webserver. Der Webserver antwortet mit einer digital signierten Zustimmung zum Initiieren einer TLS/SSL-verschlüsselten Sitzung. Danach kann der MID Server die verschlüsselte Kommunikation mit dem Webserver beginnen.

    Validierung des Hostnamens

    Die Hostnamenverifizierung ist ein Teil von HTTPS, der eine Serveridentitätsprüfung umfasst, um sicherzustellen, dass der Client mit dem richtigen Server kommuniziert. Diese Prüfung verhindert, dass Informationen an einen Server gesendet werden, nachdem sie von einem Man-in-the-Middle-Angriff umgeleitet wurden.

    Bei der Prüfung wird überprüft, ob der dnsName des vom Server gesendeten Zertifikats mit der URL übereinstimmt, die für die Anforderung verwendet wurde. Gemäß RFC 6125 muss die Überprüfung des Hostnamens anhand des dNSName-Felds subjectAlternativeName des Zertifikats erfolgen. In einigen veralteten Implementierungen erfolgt die Prüfung anhand des Felds commonName des Zertifikats. Wenn die Namen nicht übereinstimmen, wird die Verbindung beendet.

    Hinweis:
    Die Hostnamensvalidierung leitet den Hostnamen aus dem validierten Zertifikat des Servers ab. Daher ist die Validierung des TLS-Zertifikats eine Voraussetzung für die Validierung des Hostnamens.

    Online Certificate Status Protocol (OCSP)

    OCSP umfasst die Kontaktaufnahme mit dem Remote-Zertifizierungsstellenserver und die Überprüfung des Zertifikats, bevor der MID Server mit dem Zielserver kommuniziert. Gefährdete Zertifikate können eine Sicherheitsschwachstelle darstellen, insbesondere wenn diese Zertifikate andere Zertifikate signieren können. Wenn Zertifikate beschädigt oder gefälscht wurden, kann eine Zertifizierungsstelle einen Client darüber informieren, welche Zertifikate ungültig sind und nicht verwendet werden sollten.

    Ein OCSP-Responder (ein Server, der normalerweise vom Zertifikataussteller ausgeführt wird) gibt eine signierte Antwort zurück, dass das Zertifikat „gut“, „widerrufen“ oder „unbekannt“ ist. Wenn die Anforderung nicht verarbeitet werden kann, wird möglicherweise ein Fehlercode zurückgegeben.

    Der Aussteller des Zertifikats kann eine andere Behörde als OCSP-Responder delegieren. Dadurch wird eine Kette von Zertifikaten erstellt, die überprüft werden muss. Das Zertifikat des Responders muss vom Aussteller des betreffenden Zertifikats ausgestellt werden. Das Zertifikat des Responders muss eine bestimmte Erweiterung enthalten, die ihn als OCSP-Signaturinstanz kennzeichnet.

    Hinweis:
    OCSP-Prüfungen sind sekundäre HTTP-Aufrufe an einen OCSP-Responder. Der primäre Anruf kann die Verbindung basierend auf der Antwort des OCSP-Responders beenden.

    MID Server-Sicherheitsrichtlinie

    MID Server-Sicherheitsrichtlinien steuern den gesamten HTTPS-Datenverkehr, der vom MID Server stammt. Dies umfasst HTTPS-Verbindungen vom MID Server zu einem Internetendpunkt, ServiceNow-URLs, Intranet-Endpunkten sowie Cloud-Endpunkten.

    Diese Verbindungen können weiter in 4 Sicherheitsrichtlinien klassifiziert werden:

    ServiceNow-Endpunktrichtlinie
    Diese Richtlinie ist der Systemstandard ausschließlich für ServiceNow-URLs. In der config.xmldes MID-Servers gibt es Bootstrap-Eigenschaften, die nur zum Herstellen der ersten Verbindung mit der Instanz verwendet werden und mit der Richtlinie system_default aktualisiert werden.
    Internetrichtlinie
    Diese Richtlinien decken alle HTTPS-Verbindungen ab, die vom MID Server zu einem beliebigen Endpunkt im Internet initiiert werden.
    Intranet-Richtlinie
    Diese Richtlinien decken die reservierten IP-Subnetze ab, z. B. selbst gehostete Netzwerke.
    Überschriebene Richtlinie
    Mit dieser Richtliniendefinition können Sie bestimmte Endpunkte oder URLs überschreiben. Überschriebene Richtlinien haben während des Vorgangs die höchste Priorität.

    Beide Tabellen können bearbeitet werden, um IP-Bereiche ein- oder auszuschließen und zu steuern, welche Art von Zertifikatvalidierungsprüfungen durchgeführt werden muss. Aktivieren Sie alle Zertifikatvalidierungsprüfungen, um die Sicherheit zu maximieren. In der Quebec-Version sind alle Richtlinien und Prüfungen für Neuinstallationen standardmäßig aktiviert.

    Für Upgrade-Kunden sind die Zertifikatvalidierungsprüfungen gemäß der Intranetrichtlinie standardmäßig deaktiviert. Um die Sicherheit zu verbessern, konfigurieren und aktivieren Sie die Richtlinie für Endpunkte innerhalb des internen Netzwerks.
    Hinweis:
    Interne Endpunkte oder URLs benötigen für eine erfolgreiche Verbindung ein gültiges, von einer Zertifizierungsstelle signiertes Zertifikat.

    Importieren Sie für Endpunkte, die ein selbstsigniertes Zertifikat hosten, entweder das Zertifikat in den MID Server-Truststore, oder deaktivieren Sie die Richtlinienprüfungen, die diesen Host validieren. Weitere Informationen zum Hinzufügen von Zertifikaten finden Sie unter SSL-Zertifikate für den MID Server hinzufügen.

    Wechseln Sie nach dem Upgrade auf Quebec zur Tabelle „Zertifikatprüfungsrichtlinien“, und nehmen Sie bei Bedarf Änderungen an der Richtlinienkonfiguration vor. Sobald der MID Server hochgefahren ist und eine Verbindung zur Instanz hergestellt hat, beginnt jede nachfolgende HTTPS-Verbindung, die vom MID Server ausgeht, mit der Anwendung dieser Zertifikatprüfungen zur Laufzeit. Unsichere Verbindungen werden mit den entsprechenden Fehlermeldungen unterbrochen.

    Verwenden Sie die Instanzsicherheitsrichtlinie

    Der MID Server-Konfigurationsparameter mid.ssl.use.instance.security.policy steuert, ob der MID Server seine Bootstrap-Parameter anstelle der Sicherheitsrichtlinie der Instanz verwendet. Standardmäßig ist mid.ssl.use.instance.security.policy in der config.xml auf „false“ festgelegt, damit die Bootstrap-Richtlinien nicht von den der Instanz überschrieben werden.

    Diese Standardeinstellung kann einige Probleme während der MID Server-Einrichtung verhindern. Wenn der Host beispielsweise den OCSP-Responder nicht erreichen kann, wird eine neue MID Server-Installation nicht durch die Richtlinie einer Instanz unterbrochen, die eine OCSP-Verbindung erfordert.

    Der Konfigurationsparameter mid.ssl.use.instance.security.policy kann für jeden MID Server festgelegt werden. Bei „true“ synchronisiert der MID Server alle Richtlinien mit der Instanz, und die Bootstrap-Konfigurationsparameter werden von der Richtlinie *.servicenow.com in der Tabelle mid_cert_check_policy der Instanz überschrieben. Die endgültigen Richtlinien aktualisieren die Richtlinienzuordnung im MID Server-Speicher sowie die config.xml.

    Die Standardparameter in der config.xml sind:
    • <parameter name="mid.ssl.bootstrap.default.check_cert_hostname" value="true"/>
    • <parameter name="mid.ssl.bootstrap.default.check_cert_chain" value="true"/>
    • <parameter name="mid.ssl.bootstrap.default.check_cert_revocation" value="false"/>
    • <parameter name="mid.ssl.use.instance.security.policy" value="false"/>

    Selbst gehostete Instanzen oder lokale Instanzen müssen den folgenden Parameter für die config.xml hinzufügen :<parameter name="mid.ssl.bootstrap.default.target_endpoint" value="FQDN_OF_THE_INSTANCE"/>