Connecter l’agent au mTLS à l’aide Serveur MID

Gestion des opérations IT Xanadu

Release

xanadu

ft:locale

fr-FR

ft:publication_title

Gestion des opérations IT Xanadu

ft:clusterId

itom

bundleId

itom

workflow

Technology

Connecter l’agent au mTLS à l’aide Serveur MID

Rversion finale: Xanadu

Mis à jour 1 août 2024

2 minutes de lecture

Avant de configurer l’authentification mTLS sur l’agent, vous devez exécuter une série de commandes qui activent la configuration de l’authentification TLS (Transport Layer Security).

Avant de commencer

Assurez-vous d’avoir effectué les tâches suivantes :

Rôle requis : agent_client_collector_admin

Procédure

Générez une clé pour votre agent.

openssl ecparam -out labacc/acc.key -name prime256v1 -genkey

Générez une demande de certificat pour votre agent, selon le format suivant :

openssl req -new -key labacc/acc.key -out labacc/acc.csr -subj "/C=<country>/ST=<state>/L=<location>/O=<organization>/OU=<organization unit>/CN=<cn abbreviation>/emailAddress=<email address>"

Par exemple :

openssl req -new -key labacc/acc.key -out labacc/acc.csr -subj "/C=US/ST=NC/L=Raleigh/O=ServiceNow/OU=ITOM Lab/CN=acclinux/emailAddress=john.smith@servicenow.com"

Générez un certificat signé pour votre agent.

openssl x509 -req -days 365 -in labacc/acc.csr -CA labca/labcacert.pem -CAkey labca/ec-labcakey.pem -CAcreateserial -extensions client -out labacc/acc.crt

Dans le dossier labacc , copiez vos fichiers de clé et de certificat sur la machine virtuelle de l’hôte de l’agent.
```
cp ./acc.key <agent host config folder>
cp ./acc.crt <agent host config folder>
```
Les chemins d’accès des dossiers de configuration dépendent de votre système d’exploitation.
- Linux: /etc/servicenow/agent-client-collector/
- Windows: C :\ProgramData\servicenow\agent-client-collector\config\
- MacOS: /library/application\ support/servicenow/agent-client-collector/
Accédez à l’emplacement à partir duquel vous avez copié les fichiers .key et .crt .
Exécutez les commandes suivantes pour mettre à jour les autorisations de lecture des fichiers et permettre à l’agent de les lire.
- Linux :
  1. chown servicenow :servicenow acc.key
  2. chmod 0400 acc.key
- Windows :
  1. Sélectionnez et maintenez enfoncé (ou cliquez avec le bouton droit de la souris) le fichier .key et sélectionnez l’onglet Sécurité dans les propriétés du fichier.
  2. Ajoutez l’utilisateur servicenow à la liste des utilisateurs ayant un accès en lecture au fichier.
- MacOS :
  1. chown _servicenow :_servicenow acc.key
  2. chmod 0400 acc.key
Remarque :
L’agent doit être exécuté avec l’utilisateur ServiceNow par défaut.
Dans le fichier de configuration acc.yml, ajoutez les paramètres suivants pour spécifier le chemin d’accès à vos fichiers de clé et de certificat.
```
key-file: "<path to acc.key file>/acc.key"
cert-file: "<path to acc.cert file>/acc.crt"
```
Redémarrez l’agent.
- Linux: SystemCTL Redémarrer ACC
- Windows :
  1. Ouvrez l’application Services.
  2. Sélectionnez et maintenez enfoncé (ou cliquez avec le bouton droit de la souris) l’entrée Agent Client Collector et sélectionnez Redémarrer.
- MacOS :
  1. launchctl unload -w /Library/LaunchDaemons/com.sn.acc.plist
  2. launchctl load -w /Library/LaunchDaemons/com.sn.acc.plist
Consultez les journaux pour vérifier que l’agent a pu se connecter à l’instance à l’aide de TLS.
Agent Client Collector Les journaux sont accessibles à partir de :
- Linux: /var/log/servicenow/agent-client-collector/acc.log
- Windows: l’emplacement spécifié par l’indicateur de configuration du fichier journal . L'emplacement par défaut est le suivant : C:/ProgramData/ServiceNow/agent-client-collector/log/acc.log
  Si le répertoire C:/ProgramData est masqué (notamment sur les anciennes versions de Windows), modifiez le filtre Explorateur pour afficher les éléments masqués.
- MacOS: L’emplacement par défaut est : /Library/Application\ Support/servicenow/agent-client-collector/log/acc.log