保護されたインスタンスでコード署名をオンにして構成します。
始める前に
必要なロール:
- admin
- security_admin
- codesigning_admin
- sn_kmf.cryptographic_manager
手順
-
PPI で、 をクリックして、[コード署名] 設定ページを開きます。
-
[インスタンスタイプ] フィールドで、[保護されたインスタンス] を選択します。
-
[次へ] ボタンをクリックします。
-
[コード署名構成の更新セットがインポートされ、コミットされたことを確認してください] チェックボックスを選択します。
-
[次へ] ボタンをクリックします。
-
証明書のインストールが完了するのを待ちます。
構成ファイルのアイテムがインストールされていることを示す青色のアラートメッセージが表示されます。インストールが完了すると、アラートは数秒で消えます。
-
[ランタイム/公証キーペアと証明書] セクションの [添付ファイル ] の横にある [+ファイルを追加] を選択し、ランタイム/公証目的で使用する暗号化キーペア (p12 ファイル拡張子) をアップロードします。
信頼できるインスタンスのキーペアを再利用することも、今回のために新しいキーペアをアップロードすることもできます。
ヒント: [+ファイルを追加] オプションが使用できない場合は、グローバルスコープであり、sn_kmf.cryptographic_manager ロールを持っていることを確認します。
-
[パスワード] フィールドに、アップロードしたキーペアのパスワードを入力します。
-
[インポート] を選択します。
-
[続行] を選択して次のセクションに進みます。
-
インスタンスがガードレールチェックを実行する間待ちます。
このチェックでは、インスタンスに無効な署名がないかスキャンします。完了するまでに時間がかかる場合があります。スキャンが完了するまで、ページを終了したり更新したりしないでください。
このワークフローは、期限切れまたは非アクティブな証明書で生成された署名を識別し、影響を受けるレコードに再署名します。パフォーマンスを向上させるために、ワークフローはプロセスを複数のイベントに分割し、それらを並行して実行するようになりました。
-
無効な署名が見つかった場合は、[レポートをダウンロード] を選択します。
[レポートをダウンロード] を選択すると、無効な署名の調査と修正に使用できるレポート (scan_report.txt) がダウンロードされます。
エラーを解決してから、ページを更新してチェックを再実行します。
-
エラーがない場合は、[セットアップを完了] を選択します。
-
構成ジョブが完了するまで待ちます。
インスタンスは 1 つ以上のジョブを実行して、構成プロセスを完了します。ジョブが終了するまで、ページを終了したり更新したりしないでください。完了すると、「コード署名の構成が正常に完了しました」というメッセージが表示されます。
タスクの結果
本番インスタンスで署名の検証が実施されます。システムプロパティを確認することで、正常に完了したことを確認できます。システムプロパティ [sys_property] テーブルで、com.snc.kmf.signature.validation.flag プロパティを探し、値が true であることを確認します。com.snc.kmf.signature.validation.certificate_trust プロパティに空の値が含まれていないことを確認します。
