MID サーバーでは、顧客のファイアウォールで HTTP ポート 80 の DigiCert OCSP レスポンダー URL を開く必要があります - Support and Troubleshooting

MID サーバーでは、顧客のファイアウォールで HTTP ポート 80 の DigiCert OCSP レスポンダー URL を開く必要があります 目次 OCSP とは何ですか、またその理由は何ですか? ServiceNow MID サーバーでどのように使用されますか? どの URL/IP アドレスを開く必要がありますか? ブラウザとの接続のテスト Windows での Powershell との接続のテスト Linux での Curl との接続のテスト インスタンス証明書から特定のURLを確認する方法 なぜhttpポート80なのですか? OCSP とは何ですか、またその理由は何ですか? Online Certificate Status Protocol (OCSP) は、Web サーバーのセキュリティ保護に使用される証明書など、デジタル証明書の失効状態を取得するために使用されるインターネット プロトコルです。

一般的に信頼されているすべての認証局/ベンダーは、失効リストをホストするOCSPおよび/または CRL サーバーを持ち、証明書の秘密鍵が侵害されたと信じる理由がある場合に、予定された有効期限前に証明書を取り消すことができます。

ServiceNow MID サーバーでどのように使用されますか? Orlando リリース以降、さまざまな証明書セキュリティチェックが MID サーバーコードに追加され、Quebec リリースでは MID セキュリティポリシー機能 になりました。

OCSP レスポンダーに接続できない MID サーバーは、これをチェックの失敗として扱い、レスポンダーに到達したとしても取り消されていないことがわかりますが 取り消された可能性があると想定します。

この状況では、MID サーバーはインスタンスに接続せず、停止状態になります。

したがって、インスタンスを介したその MID サーバーのリモートデバッグも不可能です。原因を診断するには、MID サーバーのインストールフォルダーのエージェントログファイルが必要です。

顧客管理者は、おそらく一時的にデバッグの一環として、*.service-now.com への接続の失効チェックを無効にすることができますが、これはセキュリティ上のリスクが追加されるため、永続的なソリューションとしてサポートされていません。

どの URL/IP アドレスを開く必要がありますか? CA のデータベースは、侵害された証明書が記録される唯一の信頼できる場所です。これらの CA によって指定されたサーバー URL を開く必要があります。

2024/25 年以降、ホストされるインスタンスでは、OCSP サーバーを http://ocsp.digicert.com として指定する DigiCert 証明書が使用されています。

DigiCert は、すべてのサーバー URL と IPv4/6 アドレスをここにリストします。 https://knowledge.digicert.com/alerts/digicert-certificate-status-ip-address

注意： 2024/25 より前のホストインスタンスでは、内部的に OCSP サーバーを http://ocsp.entrust.net として指定する Entrust 証明書を使用していました。 ここに文書化されています。URL: https://www.entrust.com/knowledgebase/ssl/ip-range-for-entrust-revocation-crlocsp Entrust から Digicert への変更については、「 KB1702083 Entrust 認証局 (CA) の置き換え 」に記載されています。

ブラウザとの接続のテスト DigiCert OCSP サーバーとの接続をテストするには: ブラウザーを開き、 http://ocsp.digicert.com/ に移動します。「CRL / CACERTリポジトリ」が表示されます。

「このサイトにアクセスできません」などのエラーは、ファイアウォールがそれをブロックしていることを示します。

ただし、ブラウザプロキシサーバーの設定は、同じホスト上であっても、Java が使用しているものと同じではない場合があります。コマンドラインテストを使用して確認します:-

Windows での Powershell との接続のテスト 下位レベルのテストでは、次の powershell コマンドを使用できます。

Invoke-WebRequest http://ocsp.digicert.com/

Linux での Curl との接続のテスト curl http://ocsp.digicert.com/

philip.harcourt@localhost % curl http://ocsp.digicert.com CRL/CACERT Repository

インスタンス証明書から特定のURLを確認する方法 Qualys SSL Labs には便利な証明書チェックツールがあり、インターネット上のコンピューターから見た IP と証明書を提供します。 https://www.ssllabs.com/ssltest/

インスタンス URL を入力します。次のようなものが返されます

失効情報 CRL、OCSP CRL:http://crl3.digicert.com/DigiCertEVRSACAG2.crl OCSP: http://ocsp.digicert.com 失効ステータス 良好 (取り消しなし) これは、内部インターセプト/検査ファイアウォールが ServiceNow のインスタンス証明書を偽装して MID サーバーのトラフィックを意図的にチェックしている場合を除き、インスタンスへの接続時に MID サーバーに表示される証明書と同じである必要があります。これが行われないように、ファイアウォールにバイパスを追加することをお勧めします。

なぜhttpポート80なのですか? 認証局の OCSP レスポンダーは、ポート 80 で http を使用する傾向があります。 サーバーは ServiceNow によって管理されません。ServiceNow は、これらの証明書ベンダーが OCSP/CRL サーバーを実装する方法に影響を与えません。

これらのサーバーが https/port 443 を使用する場合、 O CSP トラフィックが TLS トラフィック内にカプセル化されることを意味しますが、TLS には証明書の失効が必要であり、OCSP は証明書の失効チェックを目的としているため、再帰的に行わずに OCSP 要求自体の失効チェックを実行する方法はありません。

OCSP トラフィックを適切な OCSP サーバーにプロキシする潜在的なプロキシ TLS サービス。ポート 443 でのクライアントとプロキシ間の接続、およびポート 80 でのプロキシから OCSP サーバーへの接続。ただし、ポート80に到達するクライアントがまだ存在するため、セキュリティシナリオは変更されません。