ServiceNow インスタンスから LDAPS サーバーに接続すると、PKIX 検証エラー「署名のチェックに失敗しました (signature check failed")」が発生する - Support and Troubleshooting

ServiceNow インスタンスから LDAPS サーバーに接続すると、PKIX 検証エラー「署名のチェックに失敗しました (signature check failed")」が発生する Issue 一部のお客様から、ServiceNow インスタンスを LDAPS サーバーに接続するときにこのエラーが発生するとの報告がありました。

ldaps://ldaps.example.com:636 sun.security.validator.ValidatorException: PKIX パスの検証に失敗しました: java.security.cert.CertPathValidatorException: 署名チェックに失敗しました

(ldaps://ldaps.example.com:636 sun.security.validator.ValidatorException: PKIX path validation failed: java.security.cert.CertPathValidatorException: signature check failed)

Release サポートされているすべての ServiceNow リリース

Cause このエラーメッセージは、お客様の LDAPS サーバーが内部/自己署名/非公開認証局 (CA) から発行された証明書を使用し、それらの証明書がインスタンスの X.509 証明書テーブルにアップロードされていない場合に表示されます。

Resolution

推奨されるソリューション 内部/自己署名/非公開 CA を使用する場合は、インスタンスの X.509 証明書 [sys_certificate] に以下をアップロードする必要があります。 ルート CA 証明書 すべての中間 CA 証明書 ルート CA から、対象者/発行者チェーンの反対側にある証明書 (「リーフ」証明書)。つまり、 openssl s_client -showcerts -connect 出力の一番上に表示される証明書のことです。 注意：LDAPS サーバー管理者は、このすべての情報を提供できる必要があります。そうでない場合は、必要な証明書が openssl s_client -showcerts -connect ldaps-server.customerdomain.com:636 の出力に表示されます。

代替のワークアラウンド

何らかの理由で「推奨されるソリューション」の手順がうまくいかない場合は、 システムプロパティ com.glide.communications.trustmanager_trust_all を true に設定して証明書の検証を無効にすることで、このエラーを回避することができます。

警告： これはセキュリティに重大な影響を与える可能性がある、(LDAP だけではない) インスタンス全体のグローバル設定です。一時的にテスト用 (準本番インスタンス) にのみ使用し、本番環境では使用しないでください。