mTLS (相互認証/証明書ベースの認証) の MID サーバーの問題Issue <!-- /*NS Branding Styles*/ --> .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } span { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } h2 { font-size: 24pt; font-family: Lato; color: var(--now-color--text-primary, black); } h3 { font-size: 18pt; font-family: Lato; color: var(--now-color--text-primary, black); } h4 { font-size: 14pt; font-family: Lato; color: var(--now-color--text-primary, black); } a { font-size: 12pt; font-family: Lato; color: var(--now-color--link-primary, #00718F); } a:hover { font-size: 12pt; color: var(--now-color--link-primary, #024F69); } a:target { font-size: 12pt; color: var(--now-color--link-primary, #032D42); } a:visited { font-size: 12pt; color: var(--now-color--link-primary, #00718f); } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } 相互認証が有効になっている MID サーバーの場合、MID サーバーの問題が発生することがあります。 MID Server encryption keys do not match and are no longer valid.To restore proper functionality, invalidate and re-validate the MID Server.同期後にファイル検出許可リストを復号化できませんでした。 これは相互認証が有効な MID サーバーであるため、[リキー] UI リンクまたは [無効化/検証] UI リンクの両方を使用できません。 また、agent_keystore ファイルを削除して MID サーバーを再起動する手順では、次のようなエラーが発生します。 01/20/22 13:57:15 (566) StartupSequencer SEVERE *** ERROR *** SOAP Response: Status code=401, Response body=<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/"><SOAP-ENV:Header/><SOAP-ENV:Body><SOAP-ENV:Fault><faultcode>User Not Authenticated</faultcode><faultstring>User Not Authenticated</faultstring><detail>Error completing SOAP request</detail></SOAP-ENV:Fault></SOAP-ENV:Body></SOAP-ENV:Envelope>01/20/22 13:57:15 (567) StartupSequencer WARNING *** WARNING *** Could not authenticate user 'null' on the ServiceNow instance01/20/22 13:57:15 (567) StartupSequencer SEVERE *** ERROR *** test failurejava.lang.IllegalStateException: User cannot be authenticated or is missing the proper roles. If you have deleted or changed the MID server keystore, and config.xml mid.instance.password value is encrypted, you may need to change this value to plain text (during MID startup, password is re-encrypted using current keystore and written back to mid.instance.password).at com.service_now.mid.services.StartupSequencer.runTests(StartupSequencer.java:668)at com.service_now.mid.services.StartupSequencer.startupSequencerRunnable(StartupSequencer.java:717)at java.base/java.lang.Thread.run(Thread.java:834) エラーメッセージに何と言われても、MID サーバーが相互認証で認証するために必要なカスタム PEM 証明書を削除することになるため、 agent_keystore ファイルを削除することはできません 。 これらの手順は、MID が起動時にキーを生成する必要がある場合にのみ役に立ち、mTLS のキー/証明書を手動でインストールしている場合には役に立ちません。security\agent_keystore または keystore\agent_keystore.jks ファイルの削除は、mTLS MID に対して行うべきではない可能性があります。 Release<!-- /*NS Branding Styles*/ --> .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } span { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } h2 { font-size: 24pt; font-family: Lato; color: var(--now-color--text-primary, black); } h3 { font-size: 18pt; font-family: Lato; color: var(--now-color--text-primary, black); } h4 { font-size: 14pt; font-family: Lato; color: var(--now-color--text-primary, black); } a { font-size: 12pt; font-family: Lato; color: var(--now-color--link-primary, #00718F); } a:hover { font-size: 12pt; color: var(--now-color--link-primary, #024F69); } a:target { font-size: 12pt; color: var(--now-color--link-primary, #032D42); } a:visited { font-size: 12pt; color: var(--now-color--link-primary, #00718f); } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } Cause<!-- /*NS Branding Styles*/ --> .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } span { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } h2 { font-size: 24pt; font-family: Lato; color: var(--now-color--text-primary, black); } h3 { font-size: 18pt; font-family: Lato; color: var(--now-color--text-primary, black); } h4 { font-size: 14pt; font-family: Lato; color: var(--now-color--text-primary, black); } a { font-size: 12pt; font-family: Lato; color: var(--now-color--link-primary, #00718F); } a:hover { font-size: 12pt; color: var(--now-color--link-primary, #024F69); } a:target { font-size: 12pt; color: var(--now-color--link-primary, #032D42); } a:visited { font-size: 12pt; color: var(--now-color--link-primary, #00718f); } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } この問題を再現する最も可能性の高い手順は次のとおりです。 ユーザー名/パスワード (基本認証) を使用して MID サーバーをインストールし、インスタンスに接続しますMID を検証MID をシャットダウンバッチファイル \agent\bin\scripts\install-certificate.bat (または .sh) を使用して、MID のagent_keystore (相互認証) に必要なキー/証明書をインストールしますMID を再起動 このステータスでは、インスタンスの公開鍵は、基本認証が使用されていたとき (以前に検証されたとき) のagent_keystoreにあった秘密鍵に対応します。mTLS を有効にした後、MID が公開鍵の更新を呼び出すときに、MID が以前に検証されていた場合は、メッセージに含まれる署名ではなく古いキーが検証されます。これは新しいキー (mTLS 用にインストール済み) の署名になりますが、この検証は失敗します。 この状況では、次のログが表示されます。 MID Server encryption keys do not match and are no longer valid. To restore proper functionality, invalidate and re-validate the MID Server. MID サーバーで mTLS が有効になっているため、UI から無効にしたりリキーしたりする方法はありません。これらのコントロールは MID フォームに含まれていない必要があります。したがって、このメッセージの提案は役に立ちませんが、示されている原因は正確です。 Resolution<!-- /*NS Branding Styles*/ --> .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } span { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } h2 { font-size: 24pt; font-family: Lato; color: var(--now-color--text-primary, black); } h3 { font-size: 18pt; font-family: Lato; color: var(--now-color--text-primary, black); } h4 { font-size: 14pt; font-family: Lato; color: var(--now-color--text-primary, black); } a { font-size: 12pt; font-family: Lato; color: var(--now-color--link-primary, #00718F); } a:hover { font-size: 12pt; color: var(--now-color--link-primary, #024F69); } a:target { font-size: 12pt; color: var(--now-color--link-primary, #032D42); } a:visited { font-size: 12pt; color: var(--now-color--link-primary, #00718f); } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } これを回避するには、次の場合にのみキー/証明書をアップロードして mTLS を有効にする必要があります。 MID はまだ開始されていませんまたは、mTLS 用に再構成するためにシャットダウンする前に、MID が最初に無効になっています しかし、この問題が発生した後、現時点では、上記の点に留意しながら、新しい MID サーバーをインストールし、相互認証を有効にするしか回避できません。 Related Links<!-- /*NS Branding Styles*/ --> .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } span { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } h2 { font-size: 24pt; font-family: Lato; color: var(--now-color--text-primary, black); } h3 { font-size: 18pt; font-family: Lato; color: var(--now-color--text-primary, black); } h4 { font-size: 14pt; font-family: Lato; color: var(--now-color--text-primary, black); } a { font-size: 12pt; font-family: Lato; color: var(--now-color--link-primary, #00718F); } a:hover { font-size: 12pt; color: var(--now-color--link-primary, #024F69); } a:target { font-size: 12pt; color: var(--now-color--link-primary, #032D42); } a:visited { font-size: 12pt; color: var(--now-color--link-primary, #00718f); } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } エラーメッセージを変更するためにPRB1556363 が開かれました: 'MID サーバー暗号化キーが一致せず、無効になりました。適切な機能を復元するには、MID サーバーを無効にしてから再検証してください」 「相互認証」が有効な MID サーバーには無効化/再検証またはリキー UI リンクがなく、このエラーメッセージは非常に誤解を招くために表示されます。