ServiceNow インスタンスでの送信相互認証 (サードパーティ Web サービスの呼び出し) の構成 - Support and Troubleshooting

ServiceNow インスタンスでの送信相互認証 (サードパーティ Web サービスの呼び出し) の構成 Issue 相互認証は、SSL (Secure Socket Layer) 証明書を交換することで信頼を確立します。

クライアントは、サーバーに接続する前に SSL 証明書を要求します。サーバーは、応答として、クライアントに独自の証明書を送信するように要求します。どちらも、HTTPS 接続を開始する前に証明書を検証し、確認応答を送信することで応答します。

この記事では、相互認証を設定するために必要な手順について説明します。相互認証に使用される ServiceNow インスタンス証明書を作成して所有するのは顧客であることに注意してください。

この機能は、 送信 https 接続 でのみ相互認証を有効にすることを確認します。

Release Madrid 以降

Resolution 相互認証を設定するには、次の手順を実行できます：

まずServiceNow側を設定し サードパーティと共有します。

A) キーストアの作成 このステップでは、ServiceNow 側の相互認証で使用される秘密鍵と公開鍵を含むキーストアファイルを作成します。

ServiceNow インスタンスは、サードパーティの Web サーバーとの認証として公開鍵証明書を使用します。

新しい Java キーストアとキーペアを生成します (keyool -genkey コマンド)。 既存の Java キーストアの CSR (証明書署名要求) を生成します (keytool -certreq コマンド)。 この証明書要求には独自のドメインを使用します。 ルート証明書または中間証明書を認証局から Java キーストアにインポートします (keytool -import -trustcacerts コマンド)。 CA 認証局から返された署名済みプライマリ証明書を Java キーストアにインポートします (keytool -import -trustcacerts コマンド)。 注意：

CA 機関から、証明書要求に含める内容に関する具体的な指示が提供される場合があります。 キーストアのパスワードと証明書エイリアスを記録します。 B) ServiceNow でキーストアレコードを設定する。 必要なロール： admin

[システム定義](System Definition) > [証明書]( Certificates) ページで、[新規] をクリックし、次のフィールドを設定します。： 名前を入力 タイプを設定 = Java キーストア (Java Key Store) キーストアを アクティブ (Active) キーストアのパスワード (キーストアの作成に使用したパスワード) を入力します。 ステップ (A) で作成したキーストアファイルをレコードに添付します。 [送信] をクリックして、Java キーストアエントリを作成します。 C) プロトコルプロファイルの作成 必要なロール： 管理者

[System Security] > [Protocol Profiles ] に移動します。 [新規] をクリックします。 myhttps など、このプロトコルを識別する一意の名前を入力します (この名前を http にすることはできません)。 プロトコル通信ポート (SSL の場合は 443) を入力します。 上記の B) で作成されたキーストアレコードを選択します。 レコードを保存します。 D) 新しいキーストアの公開鍵をサードパーティの Web サービスプロバイダーと共有する。 これは ServiceNow で使用される認証証明書です。

Java の「 keytool -export 」コマンドを使用して、最近作成したキーストアファイルから公開鍵を DER または PEM 形式の証明書ファイルにエクスポートします。 このファイルをサードパーティ Web サービスプロバイダーと共有します。

次のステップとして、サードパーティの PEM/DER 証明書を証明書テーブルにロードし、相互認証プロセスで証明書を検証できるようにします。

E) 信頼できるサーバー証明書の指定。 この手順では、サードパーティの Web サービスによって提供された公開証明書を ServiceNow トラストストアにインポートします。これは、サードパーティによって使用される認証証明書です。

必要なロール： admin

[System Definition] > [Certificates ] に移動します。 [新規] をクリックし、次を指定します。 レコード名 [Type] フィールドを [Trust Store Cert] に設定します。 サードパーティから提供された証明書が PEM 形式の場合は、[形式] フィールドを [PEM] に設定し、PEM 文字列をレコードの [PEM 証明書] フィールドに貼り付けます。 サードパーティから提供された証明書が DER 形式の場合は、[形式] フィールドを DER に設定し、証明書ファイルをレコードに添付します。 [送信] をクリックします。

すべてが正しく設定されたので、相互認証を有効にできます。

F) 相互認証を有効にします。 必要なロール： web_service_admin または admin

[System Web Services] > [SOAP Message ] または [ System Web Services] > [REST Message ] に移動します。 メッセージレコードを選択します。 [相互認証を使用 チェックボックスをオンにします。 プロトコルプロファイル フィールドで、相互認証のために上記の D) で構成されたプロトコルプロファイルを選択します。 [更新] をクリックします。 Web サービスをテストします。相互認証により、Web サービスが呼び出しを完了できるようになります。

Web サービス要求のテスト中に「サポートされていないプロトコル」というエラーが発生した場合は、ステップ A で -trustcacerts インポートオプションを使用していること、および結果のエイリアスのタイプが「TrustedCertEntry」であることを確認してください。 Related Links ソリューションの概要を説明するために使用するドキュメント：

相互認証の設定 送信 Web サービスの相互認証 プロトコルプロファイルの作成 相互認証の有効化