Sichern Sie Ihre Kafka-Themen, indem Sie einen generieren ServiceNow® Von Instanz signiertes Zertifikat.
Vorbereitungen
Einrichten von Hermes Messaging-Service Erfordert Koordination mit Ihrem Netzwerkadministrator und Ihrem Kafka-Administrator. Arbeiten Sie mit Ihrem Netzwerkadministrator zusammen, um die erforderlichen Sicherheitszertifikate zu erhalten und die erforderlichen Ports zu öffnen. Arbeiten Sie mit Ihrem Kafka-Administrator zusammen, um sicherzustellen, dass Ihre Kafka-Umgebung korrekt konfiguriert ist und Ihre Anwendungen eine Verbindung mit herstellen können Hermes Messaging-Service Mit dem Standard-Kafka-Protokoll.
Stellen Sie sicher, dass das folgende Setup vorhanden ist:
- Die Hermes Messaging-Service Ist aktiviert. Weitere Informationen finden Sie unter Wird aktiviert Hermes Messaging-Service.
- Das Plugin „Key Management Framework“ (com.Glide.kmf.global) ist aktiviert.
- Die Tabelle „Zertifikate“ [sys_kmf_certificate] enthält einen ServiceNow CA-Stammzertifikat der Instanz.
- Die Instanz ist nicht mit einer anwenderdefinierten URL konfiguriert. Anwenderdefinierte URLs werden mit dem Instanz-PKI-Zertifikatgenerator nicht unterstützt.
Erforderliche Rolle: hermes_admin, sn_kmf.cryptographic_Manager oder admin
Details zum Zuweisen von KMF-Rollen finden Sie unter Roles installed with Key Management Framework.
Prozedur
-
Navigieren zu an.
- Wahlweise:
Steuern Sie den Zugriff auf Themen, indem Sie Zugriffssteuerungslisten (ACLs) auf Namespace- oder Themenebene konfigurieren.
| Option | Beschreibung |
|---|
| Wenden Sie ACLs auf Namespaces an |
- Wählen Sie Aus Konfigurieren Sie ACLs .
- Wählen Sie im Dialogfeld „Themen-ACLs“ die Option aus Namespaces .
- Geben Sie einen Namespace ein, den Sie konfigurieren möchten.
- Legen Sie die Berechtigungsstufe fest, indem Sie eine der folgenden Optionen auswählen Schreibgeschützt Oder Lesen/Schreiben .
- Wählen Sie Hinzufügen.
|
| Wenden Sie ACLs auf definierte Themen an |
- Wählen Sie Aus Konfigurieren Sie ACLs .
- Wählen Sie im Dialogfeld „Themen-ACLs“ die Option aus Definierte Themen .
- Geben Sie ein vorhandenes Thema ein, das Sie konfigurieren möchten.
- Legen Sie die Berechtigungsstufe fest, indem Sie eine der folgenden Optionen auswählen Schreibgeschützt Oder Lesen/Schreiben .
- Wählen Sie Hinzufügen.
|
Dem Träger des Zertifikats wird Lese- oder Lese-/Schreibzugriff auf die Themen im Namespace oder im vorhandenen von Ihnen ausgewählten Thema gewährt.
-
Richten Sie die Sicherheit für ein Hermes Messaging-Service.
-
Navigieren Sie zurück zur Seite Instanz-PKI-Zertifikatgenerator.
-
Geben Sie ein Schlüsselspeicher-Passwort in ein Zertifikatpasswort Feld.
-
Wählen Sie Aus Generieren .
Das System generiert ein instanzsigniertes Zertifikat in der Tabelle „Zertifikate“ [sys_kmf_certificate], erstellt einen Schlüsselspeicher und erstellt einen Truststore.
Wenn eingeschränkter Anruferzugriff für den IPKI-Zertifikatgenerator nicht zulässig ist, wird ein bereichsübergreifender Zugriffsfehler angezeigt. Kontakt Kundenservice und Support Für Unterstützung beim Zulassen des eingeschränkten Anruferzugriffs. So beheben Sie dieses Problem: Kundenservice und Support Kann auf Source_scope=76f9d51369115083f4ea77aab1677cc0 in der Tabelle „eingeschränkte Anruferzugriffsberechtigungen“ [sys_Restricted_caller_Access] verweisen.
-
Speichern Sie eine Kopie des Schlüsselspeichers, indem Sie auswählen Schlüsselspeicher Herunterladen .
-
Speichern Sie eine Kopie des Truststore, indem Sie auswählen Truststore Herunterladen .
-
Kopieren Sie die Schlüsselspeicher- und Truststore-Dateien in jeden Hersteller- und Verbraucherclient, der eine Verbindung mit herstellt Hermes Messaging-Service.
Ergebnisse
Sie können jetzt eine sichere Verbindung mit erstellen Hermes Messaging-Service.
Hinweis: Sie müssen den Schlüsselspeicher verwenden, den Sie mit dem Instanz-PKI-Zertifikatgenerator generiert haben, um eine Verbindung herzustellen Hermes. Anwenderdefinierte generierte Schlüsselspeicher, die nicht gemäß erstellt werden ServiceNow Dokumentation wird nicht unterstützt.