Hermes メッセージングサービス への安全な接続の設定

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む3読むのに数分

    • ServiceNow® インスタンス署名証明書を生成して Kafka トピックを保護します。

    始める前に

    Hermes メッセージングサービス を設定するには、ネットワーク管理者および Kafka 管理者との調整が必要です。ネットワーク管理者と協力して必要なセキュリティ証明書を取得し、必要なポートを開きます。Kafka 管理者と協力して、Kafka 環境が正しく構成され、アプリケーションが標準の Kafka プロトコルを使用して Hermes メッセージングサービス に接続できることを確認します。

    次のセットアップが行われていることを確認します。

    • Hermes メッセージングサービスがアクティブ化されます。「Hermes メッセージングサービス のアクティブ化」を参照してください。
    • Key Management Framework プラグイン (com.glide.kmf.global) が有効になっている。
    • 証明書 [sys_kmf_certificate] テーブルに、ServiceNow インスタンスのルート CA 証明書が含まれている。

    必要なロール:hermes_admin、sn_kmf.cryptographic_manager、または admin

    KMF ロールのアサインの詳細については、「Roles installed with Key Management Framework」を参照してください。

    手順

    1. 移動先 すべて > 証明書ジェネレーター > インスタンス PKI 証明書ジェネレーター.
    2. 制限付きの発信者アクセスを承認します。
      1. 制限付きの発信者アクセスの承認に関するメッセージで、[ レコードの表示] を選択します。
      2. 制限付きの発信者アクセス特権レコードフォームで、[ ステータス ] フィールドを [承認済み] に変更します。
      3. [保存] を選択します。
    3. オプション: 名前空間またはトピックレベルでアクセス制御リスト (ACL) を設定して、トピックへのアクセスを制御します。
      オプション説明
      名前空間への ACL の適用
      1. [ ACL の構成] を選択します。
      2. [トピック ACL] ダイアログボックスで、[ 名前空間] を選択します。
      3. 構成する名前空間を入力します。
      4. [ 読み取り専用 ] または [ 読み取り/書き込み] を選択して、アクセス許可レベルを設定します。
      5. [追加] を選択します。
      定義されたトピックに ACL を適用する
      1. [ ACL の構成] を選択します。
      2. [トピック ACL] ダイアログボックスで、[ 定義済みトピック] を選択します。
      3. 設定する既存のトピックを入力します。
      4. [ 読み取り専用 ] または [ 読み取り/書き込み] を選択して、アクセス許可レベルを設定します。
      5. [追加] を選択します。
      証明書の作成者には、名前空間内のトピックまたは選択した既存のトピックへの読み取りまたは読み取り/書き込みアクセス権が付与されます。
    4. のセキュリティ Hermes メッセージングサービスを設定します。
      1. [インスタンス PKI 証明書ジェネレーター] ページに戻ります。
      2. [ 証明書パスワード ] フィールドにキーストアのパスワードを入力します。
      3. [生成] を選択します。
      システムは、証明書 [sys_kmf_certificate] テーブルにインスタンス署名付き証明書を生成し、キーストアを作成し、トラストストアを作成します。
    5. [ キーストアのダウンロード] を選択して、キーストアのコピーを保存します。
    6. 「トラ ストストアのダウンロード」を選択して、トラストストアのコピーを保存します。
    7. キーストアファイルとトラストストアファイルを、に接続する Hermes メッセージングサービス各プロデューサークライアントとコンシューマークライアントにコピーします。

    タスクの結果

    これで、Hermes メッセージングサービス への安全な接続を作成できます。

    注:
    に接続する Hermesには、インスタンス PKI 証明書ジェネレーターを使用して生成したキーストアを使用する必要があります。ドキュメントに従って ServiceNow 作成されていないカスタム生成のキーストアはサポートされていません。

    次のタスク

    Hermes メッセージングサービス を使用したデータの交換 のガイダンスを確認します。

    生成したトラストストア・ファイルと鍵ストア・ファイルを使用して、プロデューサー・プロパティー・ファイルとコンシューマー・プロパティー・ファイル内の SSL 接続 Hermes を構成します。詳細については、以下のトピックを参照してください。