Konfigurieren Sie den Schlüsselaustausch

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Key Management Framework (KMF) generiert während der Neuinstallation oder des Upgrades der Instanz automatische Schlüsselaustauschanforderungen für unterstützte kryptografische Module. verwaltet den Datenverschlüsselungsschlüssel lokal für die Instanz.

    Vorbereitungen

    Vor der Verwendung von Key Exchangemuss sowohl in der Ziel- als auch in der Quellinstanz ein kryptografisches Modul mit einem Schlüssel erstellt werden.

    Erforderliche Rolle: sn_kmf.cryptographic_manager

    Warum und wann dieser Vorgang ausgeführt wird

    Key Exchange -Anforderungen werden von der Zielinstanz initiiert.

    Der automatische Schlüsselaustausch ist beim Klonen einer Instanz standardmäßig aktiviert, wobei die Eigenschaft in die Zielinstanz geklont wird. Konfigurieren Sie zusammen mit KMFSystemeigenschaften, um zu verwalten, wie Schlüssel während eines Instanzklons behandelt werden:

    • Automatischen Schlüsselaustausch deaktivieren: Legen Sie die Eigenschaft glide_encryption.auto_key_exchange.enabled für wiederkehrende Klonanforderungen auf „ false “ fest.
    • Automatische Schlüsselaustauschanforderungen senden: Legen Sie diese Eigenschaft auf „wahr“ fest.
    Wichtig:
    Die Basissystemeigenschaft ist standardmäßig auf „ true “ festgelegt, was bedeutet, dass beim Klonen einer Instanz der automatische Schlüsselaustausch aktiviert wird. Dieser Wert muss auf „ false “ festgelegt werden, wenn Sie die Funktion Schlüsseltext mit Schlüsselaustausch erneut schlüsseln oder den wiederkehrenden Schlüsselaustausch verwenden. Weitere Einzelheiten erhalten Sie unter Vorstellung des wiederkehrenden Schlüsselaustauschs.

    Prozedur

    1. Navigieren zu Alle > Schlüsselverwaltung > Ressourcenaustausch-Anforderungen > Neu.
    2. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Ressourcenaustausch Felder des Anforderungsformulars
      Name Beschreibung
      Austauschhäufigkeit
      • Ad-hoc: Sendet Anforderungen von der Schlüsselzielinstanz an die Quellinstanz. Geben Sie die sys_id der Instanz und die Hostinformationen für die Quelle ein. Nicht unterstützt mit „Rekey“ des Schlüsselaustauschs.
      • Einmaliger Klon: Einmaliger Austausch der Schlüssel von den Quellkrypto-Spezifikationen mit der Zielinstanz.
      • Wiederkehrender Klon: Tauschen Sie Schlüssel aus den ausgewählten Quellkrypto-Spezifikationen mit der Zielinstanz auf einem definierten wiederkehrenden Klon aus.
      <Source or Target> sys_id der Instanz
      • Ad-hoc: Geben Sie diesys_idfür die Quellinstanz ein, von der die Schlüssel angefordert werden sollen.
      • Einmaliger Klon, Wiederkehrender Klon: Geben Sie die sys_id für die Zielinstanz ein, die die Anforderungen sendet.
        Tipp:
        Geben Sie im Anwendungsnavigator stats.do ein, um die Instanz-ID zu finden.
      <Source or Target> Instanzhost Geben Sie den Hoststandort oder den Namen der Quell- oder Zielinstanz ein.
      Tipp:
      Beispiel : instanceA.service-now.com
      Krypto-Spezifikationen Die Schlüssel aus der Krypto-Spezifikation in einem Krypto-Modul definieren die zu klonenden Schlüssel. Sowohl für einmalige als auch für wiederkehrende Klonanforderungen erstellt Ihre Instanz automatisch eine Zugriffsrichtlinie für das Ressourcenaustauschmodul. Sie müssen eine Richtlinie nicht manuell konfigurieren.
      Hinweis:
      Klicken Sie auf das Symbol „ Nachschlagen mit Liste“ (Symbol „Nachschlagen mit Liste“ ), um die verfügbaren kryptografischen Spezifikationen zu durchsuchen.
      Erneute Schlüsselerstellung nach Schlüsselimport aktivieren Option zum Aktivieren der automatischen Schlüsselerstellung.
    3. Wählen Sie Absenden.
      Bei Erfolg wird oben im Formular eine Bestätigung angezeigt. Die Tabelle „Anforderungen“ wird mit dem Eintrag Anforderung ausstehend sowohl in der Quellinstanz als auch in der Zielinstanz aktualisiert. Öffnen Sie den Anforderungsdatensatz, um den Status der Anforderung, die Anzahl der importierten Schlüssel und die Gesamtanzahl der Schlüssel auf dem Ziel- oder Quellhost anzuzeigen.
      Zeigt den Anforderungsstatus für Anforderungen an.
    4. Die ausstehende Anforderung wird in der Quellinstanz akzeptiert, um den Austausch abzuschließen.

      Zum Zeitpunkt des Klonens wird die Modulzugriffsrichtlinie in der Quellinstanz aufgerufen, um die Anforderung automatisch zu genehmigen und Schlüssel an das neu geklonte Ziel zu senden.

      Anforderung genehmigt wird im Feld Status im Anforderungsdatensatz angezeigt.

    Ergebnisse

    Nachdem versucht wurde, einen Schlüssel auszutauschen, aktualisiert Ihre Nicht-Produktionsinstanz die Systemeigenschaft protected.script.values.kmf.rekeyed. Diese Eigenschaft ist in der Tabelle „Systemeigenschaften“ [sys_properties] sichtbar, nachdem versucht wurde, einen Schlüssel auszutauschen. Wenn die Verschlüsselung mit dem ausgetauschten Schlüssel erfolgreich ist, hat diese Eigenschaft den Wert true. Andernfalls hat die Eigenschaft den Wert false. Wenn der Wert „false“ ist, versucht die Instanz am nächsten Tag erneut, zu verschlüsseln.