mTLS-Authentifizierung für einen MID-Webserver konfigurieren

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Verbessern Sie die Sicherheit in der MID-Webservererweiterung, indem Sie die mTLS-Authentifizierung aktivieren.

    Vorbereitungen

    Vergewissern Sie sich, dass Transport Layer Security (TLS) auf dem Agent aktiviert ist. Details finden Sie unter Verbinden Sie den -Agent über mTLS mit MID-Server ..

    Stellen Sie sicher, dass der Parameter insecure-skip-tls-verify in der acc.yml- Konfigurationsdatei auf falsefestgelegt ist. Einzelheiten zur Datei acc.yml finden Sie unter Konfigurationsdateioptionen.

    Erforderliche Rolle: agent_client_collector_admin

    Warum und wann dieser Vorgang ausgeführt wird

    Die Erweiterung MID-Webserver durchsucht die folgenden Speicherorte (in der angegebenen Reihenfolge), um auf den Truststore-Speicherort und das Passwort zuzugreifen:
    • Truststore-Speicherort: Die JVM-Systemeigenschaft mid.webserver.truststore.path.

      Wenn diese Eigenschaft leer ist, wird von der Erweiterung der Speicherort aus der JVM-Systemeigenschaft javax.net.ssl.trustStore abgerufen.

      Wenn kein Speicherort angegeben ist, wird standardmäßig der absolute Pfad der cacerts-Datei der JRE verwendet, auf der der MID-Server ausgeführt wird.

    • Truststore-Passwort: Das Feld Truststore-Passwort im Erweiterungsformular in der Instanz.

      Wenn dieses Feld leer ist, wird vom System das Passwort aus der JVM-Systemeigenschaft javax.net.ssl.trustStorePassword abgerufen.

      Wenn kein Speicherort angegeben ist, lautet das Passwort standardmäßig changeit.

    Prozedur

    1. Navigieren Sie zum Stammordner Ihres MID-Server.
    2. Führen Sie den folgenden Befehl aus, um Ihr Zertifikat dem MID-Truststore hinzuzufügen: 
      ./jre/bin/keytool -importcert -file /etc/pki/ca-trust/source/anchors/labcacert.pem -destkeystore ./jre/lib/security/cacerts -alias mtlsca
    3. Geben Sie changeit ein, wenn Sie zur Eingabe eines Passworts aufgefordert werden.
    4. Wählen Sie im Bestätigungsmeldungsfenster „Ja“, um zu bestätigen, dass Sie dem Zertifikat vertrauen.
    5. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob Ihr Zertifikat erfolgreich dem MID-Trust Store hinzugefügt wurde. 
      ./jre/bin/keytool -list -keystore ./jre/lib/security/cacerts -alias mtlsca
    6. Geben Sie changeit ein, wenn Sie zur Eingabe eines Passworts aufgefordert werden.
    7. Konfigurieren Sie in der Konfigurationsdatei für die Wrapper-Überschreibung MID-Server (Wrapper-override.conf, im Verzeichnis „home/conf“ von MID-Server) das Widerrufen von Client-Zertifikaten in der Eigenschaft mid.webserver.cert.revocation.check.enabled.
      • Wenn Sie ein anwenderdefiniertes internes Zertifikat haben, setzen Sie den Wert auf „false“, indem Sie der Datei conf/wrapper-override.conf auf dem MID Server die folgende Zeile hinzufügen:
        wrapper.java.additional.4=-Dmid.webserver.cert.revocation.check.enabled=false
      • Wenn Sie diese Eigenschaft (true) aktivieren, konfigurieren Sie die Eigenschaft mid.webserver.ocsp.responder.url mit der OCSP-Responder-URL. Dieser Wert überschreibt alle im Zertifikat eingebetteten URLs.
    8. Wenn Sie Eigenschaften in der Konfigurationsdatei für die Wrapper-Überschreibung geändert haben, starten Sie den MID-Server neu.
    9. Greifen Sie in der Instanz ServiceNow® auf den Datensatz MID-Server zu, und ändern Sie den Wert des Felds Authentifizierungstyp in mTLS.
    10. Starten Sie MID-Webserverneu.
    11. Vergewissern Sie sich, dass MID-Webserver und der Websocket-Endpunkt aktiv sind und ausgeführt werden.

    Nächste Maßnahme

    Verbinden Sie den -Agent über mTLS mit MID-Server ..