Zscaler を介した ServiceNow テーブル API への REST API 接続が SSL インスペクションで失敗する - サーバープローブの失敗によりブロックされる - Support and Troubleshooting

Zscaler を介した ServiceNow テーブル API への REST API 接続が SSL インスペクションで失敗する - サーバープローブの失敗によりブロックされる Issue .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } span { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } h2 { font-size: 24pt; font-family: Lato; color: var(--now-color--text-primary, black); } h3 { font-size: 18pt; font-family: Lato; color: var(--now-color--text-primary, black); } h4 { font-size: 14pt; font-family: Lato; color: var(--now-color--text-primary, black); } a { font-size: 12pt; font-family: Lato; color: var(--now-color--link-primary, #00718F); } a:hover { font-size: 12pt; color: var(--now-color--link-primary, #024F69); } a:target { font-size: 12pt; color: var(--now-color--link-primary, #032D42); } a:visited { font-size: 12pt; color: var(--now-color--link-primary, #00718f); } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } クライアントが ServiceNow の標準 (OOB) テーブル API への REST API 呼び出しを開始し、それを Zscaler 経由でルーティングすると、SSL インスペクション中に接続が失敗します。ServiceNow インスタンスにはブラウザと Postman からアクセスできますが、Zscaler を介してルーティングされた API 要求では、"Blocked due to Server Probe Failure" というエラーが発生します。このエラーは Zscaler ログで確認されます。

Zscaler では、このエラーは通常、HTTPS サイトにアクセスし、特に SSL インスペクション中に、接続の認証や安全なパスの確立に失敗するときに発生します。

Release .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } span { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } h2 { font-size: 24pt; font-family: Lato; color: var(--now-color--text-primary, black); } h3 { font-size: 18pt; font-family: Lato; color: var(--now-color--text-primary, black); } h4 { font-size: 14pt; font-family: Lato; color: var(--now-color--text-primary, black); } a { font-size: 12pt; font-family: Lato; color: var(--now-color--link-primary, #00718F); } a:hover { font-size: 12pt; color: var(--now-color--link-primary, #024F69); } a:target { font-size: 12pt; color: var(--now-color--link-primary, #032D42); } a:visited { font-size: 12pt; color: var(--now-color--link-primary, #00718f); } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } すべてのリリース

Cause .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } span { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } h2 { font-size: 24pt; font-family: Lato; color: var(--now-color--text-primary, black); } h3 { font-size: 18pt; font-family: Lato; color: var(--now-color--text-primary, black); } h4 { font-size: 14pt; font-family: Lato; color: var(--now-color--text-primary, black); } a { font-size: 12pt; font-family: Lato; color: var(--now-color--link-primary, #00718F); } a:hover { font-size: 12pt; color: var(--now-color--link-primary, #024F69); } a:target { font-size: 12pt; color: var(--now-color--link-primary, #032D42); } a:visited { font-size: 12pt; color: var(--now-color--link-primary, #00718f); } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } Zscaler は、相互認証された TLS セッション (mTLS) の復号化をサポートしていません。mTLS では、クライアントとサーバーの両方が証明書を交換して互いの ID を検証します。これにより、標準のTLSと比較してセキュリティレイヤーが追加されますが、クライアント証明書の認証が関係している場合、Zscalerはトラフィックを検査または復号化できません。

Resolution .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } span { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } h2 { font-size: 24pt; font-family: Lato; color: var(--now-color--text-primary, black); } h3 { font-size: 18pt; font-family: Lato; color: var(--now-color--text-primary, black); } h4 { font-size: 14pt; font-family: Lato; color: var(--now-color--text-primary, black); } a { font-size: 12pt; font-family: Lato; color: var(--now-color--link-primary, #00718F); } a:hover { font-size: 12pt; color: var(--now-color--link-primary, #024F69); } a:target { font-size: 12pt; color: var(--now-color--link-primary, #032D42); } a:visited { font-size: 12pt; color: var(--now-color--link-primary, #00718f); } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } お客様のインスタンスで mTLS が有効になっており、CA 証明書がインストールされている場合、ServiceNow は SSL ハンドシェイク中に「REQUEST CERT」を送信します。証明書要求設定を無効にした場合でも、CA 証明書が存在するとこの動作がトリガーされ、SSL インスペクションが失敗します。

ワークアラウンド:

他の統合に CA 証明書が必要ない場合:

ServiceNow インスタンスから CA 証明書を削除します。 ServiceNow の設定を更新して、クライアント (Zscaler) への証明書要求を抑制します。これにより、ServiceNow はハンドシェイク中に "REQUEST CERT" を送信しなくなります。なお、この設定は ServiceNow エンジニアのみが更新できます。 または、お客様が ServiceNow トラフィックの TLS インスペクションをバイパスするように Zscaler を設定することもできます。 このワークアラウンドにより、REST API 呼び出しは SSL インスペクションエラーなしに Zscaler を通過できます。