Activer l’authentification réciproque du Serveur MID

Rversion finale: Washingtondc

Mis à jour 1 févr. 2024

5 minutes de lecture

Configurez le MID Server pour utiliser un certificat client pour l’authentification à l’instance. Cela évite d’avoir à créer des informations d’identification d’authentification de base dans le magasin de clés pour la configuration du MID Server.

Avant de commencer

Rôle requis : admin

Pourquoi et quand exécuter cette tâche

L’authentification réciproque du MID Server supprime le nom d’utilisateur et le mot de passe du MID Server et fournit un certificat client pour l’authentification. Chaque fois qu’un serveur demande une authentification, ce certificat est envoyé à la place. Pour utiliser l’authentification réciproque, l’authentification basée sur certificat doit être activée. Reportez-vous à la section Configurer l’authentification basée sur certificat pour connaître la procédure.

Si un nouveau MID Server est créé avec l’authentification réciproque, il n’ajoute pas automatiquement d’options. Un administrateur doit ajouter des options à son enregistrement sur l’instance. Toutefois, les MID Servers existants utilisant l’authentification de base avec des options sont préservés lors du passage à l’authentification réciproque.

Un MID Server utilisant l’authentification réciproque ne peut pas être retapé ou validé en tant qu’action d’interface utilisateur sur l’instance.

Les certificats autosignés ne sont pas pris en charge avec l’authentification réciproque. Les certificats signés en interne ne sont pris en charge que lorsqu’ils sont signés par une autorité de certification privée. Les certificats signés commercialement sont pris en charge lorsqu’ils sont signés par une autorité de certification généralement approuvée, telle que celles approuvées par les navigateurs et les systèmes d’exploitation.

Dans la version Quebec, il est impossible de configurer un MID Server utilisant l’application Health Log Analytics avec l’authentification réciproque.

Procédure

Contactez l’assistance ServiceNow pour demander l’authentification réciproque sur Serveur MID.
Obtenez un certificat et une clé privée auprès d’une autorité de certification respectée.
L’authentification réciproque du MID Server prend uniquement en charge le format de bundle PEM et la clé privée au format PCKS#8. Le bundle doit contenir à la fois la clé privée et le certificat. Ouvrez le certificat à l’aide d’un éditeur de texte et vérifiez s’il est au format texte. L’en-tête et le pied de page de la syntaxe PEM sont les suivants :
```
 -----BEGIN CERTIFICATE----- 
```
```
 -----END CERTIFICATE----- 
```
Vous pouvez lire le contenu d’un certificat PEM à l’aide de la commande openssl sous Linux ou Windows comme suit : openssl x509 -in cert.crt -text . La clé privée doit être au format PKCS#8. L’en-tête et le pied de page de la syntaxe PKCS#8 sont les suivants :
```
 -----BEGIN PRIVATE KEY----- 
```
```
 -----END PRIVATE KEY----- 
```
Vous pouvez vérifier le contenu d’une clé privée à l’aide de la commande openssl sous Linux ou Windows comme suit : openssl rsa -in private.key -check
Remarque :
Si votre certificat n’est pas au format PKCS#8, vous obtenez une erreur : - main SEVERE *** ERROR *** Impossible de trouver une clé privée valide
Sur l’instance, accédez à sys_user_certificate.list.
Créez un enregistrement.

Remarque :
L’enregistrement doit avoir le nom du MID Server et le rôle d’utilisateur doit être MID Server.
Joignez le certificat à l’enregistrement.

Remarque :
Assurez-vous que le fichier joint contient uniquement le certificat.
Facultatif : Si le MID Server est en cours d’exécution, arrêtez-le.
Sur l’ordinateur hôte du MID Server, exécutez les commandes suivantes pour installer et gérer le certificat et la clé privée.
Exécutez le script à partir de la racine du répertoire de l’agent, car il nécessite les fichiers jar dans le chemin d’accès de la classe. Le répertoire de sécurité est ensuite créé dans le dossier racine de l’agent et est utilisé par le MID Server. Par exemple : bin/scripts/manage-certificates.bat -m.
La commande manage-certificates a les fonctions suivantes et les scripts doivent être exécutés à partir du dossier de l’agent.
Activer l'authentification réciproque

Pour Windows, utilisez la commande : bin/scripts/manage-certificates.bat -m

Pour Linux, utilisez la commande : ./bin/scripts/manage-certificates.sh -m

Supprimer l'authentification réciproque et restaurer l'authentification de base

Pour Windows, utilisez la commande : bin/scripts/manage-certificates.bat -b <myUserName myPassword>

Pour Linux, utilisez la commande : ./bin/scripts/manage-certificates.sh -b <myUserName myPassword>

Ajouter de nouveaux certificats et chaînes de certificats avec un alias spécifié
Pour Windows, utilisez la commande : bin/scripts/manage-certificates.bat -a <alias> <fileName>

Pour Linux, utilisez la commande : ./bin/scripts/manage-certificates.sh -a <alias> <fileName>

L’alias est un nom unique donné au certificat en cours d’importation. Le MID Server nécessite un certificat personnalisé pour l'authentification réciproque, avec le nom d'alias par défaut defaultsecuritykeypairhandle. Pour configurer la communication MTLS entre le MID Server et l'instance, l'entrée de certificat doit être ajoutée au magasin de clés à l'aide du nom d'alias defaultsecuritykeypairhandle.

Le fileName est un chemin d’accès au fichier qui peut contenir un certificat PEM, ou une chaîne de certificat, et une clé privée PCKS#8. Le chemin d'accès au fichier de groupe PEM peut contenir plusieurs certificats et une seule clé privée. L'en-tête et le pied de page de chaque certificat PEM doivent être les suivants :

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

L'en-tête et le pied de page de la syntaxe PKCS#8 doivent être les suivants :

-----BEGIN PRIVATE KEY-----

-----END PRIVATE KEY-----

Une exception est levée en cas d'échec de la validation de la chaîne de certificats. Si le fichier contient plusieurs certificats, ils doivent être classés : certificat feuille, certificats intermédiaires, puis certificats racines.
Afficher les détails du certificat pour l'alias spécifié

Pour Windows, utilisez la commande : bin/scripts/manage-certificates.bat -g <alias>

Pour Linux, utilisez la commande : ./bin/scripts/manage-certificates.sh -g <alias>

Cette commande affiche des informations telles que le nom unique de l'objet, le nom de l'émetteur et la date d'expiration du certificat.

Répertorier tous les alias existants

Pour Windows, utilisez la commande : bin/scripts/manage-certificates.bat -l

Pour Linux, utilisez la commande : ./bin/scripts/manage-certificates.sh -l

Cette commande répertorie tous les noms d'alias disponibles dans agent_keystore.

Supprimer les certificats à l'aide d'un alias

Pour Windows, utilisez la commande : bin/scripts/manage-certificates.bat -d <alias>

Pour Linux, utilisez la commande : ./bin/scripts/manage-certificates.sh -d <alias>

Cette commande supprime l'alias et l'enregistrement du magasin de clés. L'entrée de l'alias DefaultSecurityKeyPairHandle peut être supprimée à l'aide de cette commande.

Supprimer toutes les entrées du magasin de clés

Pour Windows, utilisez la commande : bin/scripts/manage-certificates.bat -r

Pour Linux, utilisez la commande : ./bin/scripts/manage-certificates.sh -r

Cette commande supprime les entrées existantes du magasin de clés, à l'exception de l'alias DefaultSecurityKeyPairHandle.
Démarrez le MID Server.