mTLS-Authentifizierung für einen MID-Webserver konfigurieren

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Verbessern Sie die Sicherheit in der MID-Webservererweiterung, indem Sie die mTLS-Authentifizierung aktivieren.

    Vorbereitungen

    Vergewissern Sie sich, dass Transport Layer Security (TLS) auf dem Agent aktiviert ist. Details finden Sie unter Verbinden Sie den -Agent über mTLS mit MID-Server..

    Stellen Sie sicher, dass der Parameter insecure-skip-tls-verify in der acc.yml- Konfigurationsdatei auf falsefestgelegt ist. Einzelheiten zur Datei acc.yml finden Sie unter ../../agent-client-collector/reference/acc-yml-options.html.

    Erforderliche Rolle: agent_client_collector_admin

    Warum und wann dieser Vorgang ausgeführt wird

    Die Erweiterung MID-Webserver durchsucht die folgenden Speicherorte (in der angegebenen Reihenfolge), um auf den Truststore-Speicherort und das Passwort zuzugreifen:
    • Truststore-Speicherort: Die JVM-Systemeigenschaft mid.webserver.truststore.path.

      Wenn diese Eigenschaft leer ist, wird von der Erweiterung der Speicherort aus der JVM-Systemeigenschaft javax.net.ssl.trustStore abgerufen.

      Wenn kein Speicherort angegeben ist, wird standardmäßig der absolute Pfad der cacerts-Datei der JRE verwendet, auf der der MID-Server ausgeführt wird.

    • Truststore-Passwort: Das Feld Truststore-Passwort im Erweiterungsformular in der Instanz.

      Wenn dieses Feld leer ist, wird vom System das Passwort aus der JVM-Systemeigenschaft javax.net.ssl.trustStorePassword abgerufen.

      Wenn kein Speicherort angegeben ist, lautet das Passwort standardmäßig changeit.

    Prozedur

    1. Navigieren Sie zum Stammordner Ihres MID-Server.
    2. Führen Sie den folgenden Befehl aus, um Ihr Zertifikat dem MID-Truststore hinzuzufügen: 
      ./jre/bin/keytool -importcert -file /etc/pki/ca-trust/source/anchors/labcacert.pem -destkeystore ./jre/lib/security/cacerts -alias mtlsca
    3. Geben Sie changeit ein, wenn Sie zur Eingabe eines Passworts aufgefordert werden.
    4. Wählen Sie im Bestätigungsmeldungsfenster „ Ja “, um zu bestätigen, dass Sie dem Zertifikat vertrauen.
    5. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob Ihr Zertifikat erfolgreich dem MID-Trust Store hinzugefügt wurde. 
      ./jre/bin/keytool -list -keystore ./jre/lib/security/cacerts -alias mtlsca
    6. Geben Sie changeit ein, wenn Sie zur Eingabe eines Passworts aufgefordert werden.
    7. Konfigurieren Sie in der Konfigurationsdatei für die Wrapper-Überschreibung MID-Server (Wrapper-override.conf, im Verzeichnis „ home/conf“ von MID-Server) das Widerrufen von Client-Zertifikaten in der Eigenschaft mid.webserver.cert.revocation.check.enabled.
      • Wenn Sie ein anwenderdefiniertes internes Zertifikat haben, setzen Sie den Wert auf „ false “, indem Sie der Datei conf/wrapper-override.conf auf dem MID Server die folgende Zeile hinzufügen:
        wrapper.java.additional.4=-Dmid.webserver.cert.revocation.check.enabled=false
      • Wenn Sie diese Eigenschaft (true) aktivieren, konfigurieren Sie die Eigenschaft mid.webserver.ocsp.responder.url mit der OCSP-Responder-URL. Dieser Wert überschreibt alle im Zertifikat eingebetteten URLs.
    8. Wenn Sie Eigenschaften in der Konfigurationsdatei für die Wrapper-Überschreibung geändert haben, starten Sie den MID-Server neu.
    9. Greifen Sie in der Instanz [ ServiceNow® auf den Datensatz MID-Server zu, und ändern Sie den Wert des Felds Authentifizierungstyp in mTLS.
    10. Starten Sie MID-Webserverneu.
    11. Vergewissern Sie sich, dass MID-Webserver und der Websocket-Endpunkt aktiv sind und ausgeführt werden.

    Nächste Maßnahme

    Verbinden Sie den -Agent über mTLS mit MID-Server..