Ändern Sie Ihre Root of Trust-Konfiguration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Vertrauen und verwenden Sie Ihre eigenen Zertifikate, anstatt sich auf die Build-Zertifikate ServiceNow von zu verlassen (Standard), indem Sie zu Ihrem Root of Trust (ROT) wechseln. ServiceNow -Komponenten wie Skripteinbindungen, Business-Regeln usw. werden zur Build-Zeit mit einem ServiceNow -Build-Zeitschlüssel signiert (Verifizierungszertifikat ist das Build-Zertifikat ServiceNow ).

    Root of Trust ändern

    Um den Root of Trust für diese Datensatzsignaturen zu ändern, müssen Sie dem Prozess zum Ändern des Root of Trust folgen.
    • Generieren und migrieren Sie mit dem bereitgestellten Zertifikat einen neuen Satz von Signaturen für alle bereitgestellten Komponenten.
    • Deaktivieren Sie die Eigenschaft „Root of Trust“ mithilfe einer geplanten Aufgabe.
    Weitere Informationen zu diesen Schritten finden Sie unter Migrieren Sie Signaturen, um ein Kundenzertifikat zu verwenden und Root of Trust für ServiceNow deaktivieren.

    Auswirkungen auf den Signaturgenerierungs- und -verifizierungsprozess

    Standardmäßig werden Build-Zertifikate für Codesignatur während des Signaturverifizierungsprozesses als vertrauenswürdig eingestuft. Nachdem Sie diese Änderung vorgenommen haben, akzeptiert Ihre Instanz Signaturen nur noch von Ihrem eigenen Codesignaturzertifikat.

    Vor und nach dem Ändern der ROT-Konfiguration
    ROT-Eigenschaft auf „falsch“ festgelegt (Standard) ROT-Eigenschaft auf „wahr“ festgelegt
    • Bei der Überprüfung werden Signaturen mit Build-Zertifikaten als vertrauenswürdig eingestuft.
    • Wenn Sie beim Signieren keine Schlüssel angeben, wird der Instanzsignaturschlüssel als Sicherungsschlüssel verwendet.
    • Der REST-Endpunkt der Signatur api/sn_kmf/signature/certificates gibt zusammen mit anderen in der Instanz vorhandenen Zertifikaten Build-Zertifikate für die ServiceNow Codesignatur zurück.
    • Bei der Überprüfung sind Signaturen mit Build-Zertifikaten nicht vertrauenswürdig.
    • Wenn Sie beim Signieren keine Schlüssel angeben, wird das Signieren nicht ausgeführt.
    • Der Signatur-REST-Endpunkt api/sn_kmf/signature/certificates schließt ServiceNow Build-Zertifikate (San Diego, Vancouver PKI, W PKI) aus.

    Auswirkung auf Ihren MID-Server

    Wenn die ROT-Eigenschaft auf „false“ festgelegt ist
    Wenn Sie Ihre ROT-Eigenschaft auf dem Standardwert („false“) belassen, hat dies keine Auswirkungen auf Ihren MID-Server.
    Wenn Codesignatur aktiviert ist und die ROT-Eigenschaft auf „wahr“ festgelegt ist
    • Die API „ isTrusted()“ gibt für Signaturen mit einem Build-Zertifikat „false“ zurück.
    • Die API „isTrusted()“ gibt für Signaturen mit Ihrem Zertifikat „true“ zurück.
    • Der REST-API-Aufruf für Zertifikate schließt Build-Zertifikate aus.
    • Möglicherweise werden in den Protokollen MID-Server-Probleme angezeigt, z. B. Meldungen zu fehlgeschlagenen Signaturvalidierungen.