Configurer l'authentification mTLS pour une extension Serveur Web MID

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Améliorez la sécurité de votre extension Serveur Web MID en activant l'authentification mTLS.

    Avant de commencer

    Assurez-vous d’avoir activé le protocole TLS (Transport Layer Security) sur l’agent. Pour plus de détails, voir Connecter l’agent au mTLS à l’aide Serveur MID.

    Assurez-vous que le insecure-skip-tls-verify paramètre dans le fichier de configuration acc.yml est défini sur false. Pour en savoir plus sur le fichier acc.yml , reportez-vous à la section ../../agent-client-collector/reference/acc-yml-options.html.

    Rôle requis : agent_client_collector_admin

    Pourquoi et quand exécuter cette tâche

    L’extension Serveur Web MID recherche les emplacements suivants (dans l’ordre spécifié) pour accéder à l’emplacement et au mot de passe du magasin de clés de confiance :
    • Emplacement du magasin de confiance : la propriété système JVM mid.webserver.truststore.path.

      Si cette propriété est vide, l'extension récupère l'emplacement à partir de la propriété système JVM javax.net.ssl.trustStore.

      Si aucun emplacement n'est spécifié, l'emplacement du magasin de confiance est défini par défaut sur le chemin d'accès absolu du fichier cacerts du JRE exécutant le Serveur MID.

    • Mot de passe du magasin de confiance : le champ Mot de passe du magasin de confiance sur le formulaire de l'extension dans l'instance.

      Si ce champ est vide, le système récupère le mot de passe à partir de la propriété système JVM javax.net.ssl.trustStorePassword.

      Si aucun emplacement n'est spécifié, le mot de passe est défini par défaut sur changeit.

    Procédure

    1. Accédez au dossier racine de votre Serveur MIDfichier .
    2. Exécutez la commande suivante pour ajouter votre certificat au magasin d’approbations MID : 
      ./jre/bin/keytool -importcert -file /etc/pki/ca-trust/source/anchors/labcacert.pem -destkeystore ./jre/lib/security/cacerts -alias mtlsca
    3. Saisissez changeit lorsque vous êtes invité à entrer un mot de passe.
    4. Sélectionnez Oui dans la fenêtre de message de confirmation pour indiquer que vous faites confiance au certificat.
    5. Exécutez la commande suivante pour vérifier que votre certificat a bien été ajouté au magasin d’approbations MID. 
      ./jre/bin/keytool -list -keystore ./jre/lib/security/cacerts -alias mtlsca
    6. Saisissez changeit lorsque vous êtes invité à entrer un mot de passe.
    7. Dans le fichier de configuration de remplacement de la Serveur MID couche (wrapper-override.conf, situé dans le répertoire home/conf de la Serveur MID), configurez la révocation des certificats clients dans la mid.webserver.cert.revocation.check.enabled propriété.
      • Si vous avez un certificat interne personnalisé, définissez sur faux en ajoutant la ligne suivante au fichier conf/wrapper-override.conf sur le serveur MID :
        wrapper.java.additional.4=-Dmid.webserver.cert.revocation.check.enabled=false
      • Lors de l’activation de cette propriété (vrai), configurez-la mid.webserver.ocsp.responder.url avec l’URL du répondeur OCSP. Cette valeur remplace toute URL incorporée dans le certificat.
    8. Si vous avez modifié les propriétés dans le fichier de configuration de remplacement de couche, redémarrez le Serveur MID.
    9. Sur votre ServiceNow® instance, accédez à l’enregistrement Serveur MID et modifiez la valeur du champ Type d’authentification en mTLS.
    10. Redémarrez le Serveur Web MIDfichier .
    11. Vérifiez que le point de terminaison et websocket Serveur Web MID sont opérationnels.

    Que faire ensuite

    Connecter l’agent au mTLS à l’aide Serveur MID.