Schlüsselverwaltung für Edge Encryption

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Sie sind für die Bereitstellung und Verwaltung der von Edge Encryption verwendeten Verschlüsselungscodes verantwortlich.

    Dieses Thema bezieht sich auf Schlüssel für das Produkt Edge Encryption. Wenn Sie Informationen zum Key Management Framework suchen, das mit Feldverschlüsselungverwendet werden kann, finden Sie weitere Informationen unter Key Management Framework.

    Wenn Sie Verschlüsselungscodes erhalten und erstellen, die die von Edge Encryption verwendeten Verschlüsselungsarten unterstützen, beachten Sie Folgendes:
    • Soll AES 128-Bit oder AES 256-Bit verwendet werden? Sie müssen einen Standard-AES 128-Bit-Verschlüsselungsschlüssel definieren, auch wenn er nicht verwendet wird.
    • Gibt an, ob Dateisystem, Java KeyStore oder Enterprise Key Management (EKM) verwendet werden soll.
    • Wann müssen die Verschlüsselungsschlüssel rotiert werden?
    • Wann und ob ein Massenverschlüsselungsauftrag verwendet wird, um Daten mit dem neuen Schlüssel erneut zu verschlüsseln.

    Vor dem Entfernen eines Schlüssels aus den Proxy-Konfigurationsdateien und dem Schlüsselspeicher müssen unbedingt alle Daten in der Instanz entschlüsselt werden, die den Schlüssel verwendet. Sie können dies tun, indem Sie einen neuen Verschlüsselungscode hinzufügen und einen Auftrag zur Massenrotation von Schlüsseln planen.

    Schlüsselspeicher

    Edge Encryption unterstützt die folgenden Arten der Schlüsselspeicherung.
    Dateispeicher
    Schlüssel werden in einer Datei in einem Dateisystem gespeichert, auf das der Edge Encryption Proxy Zugriff hat. In einer Datei gespeicherte Verschlüsselungsschlüssel werden nicht verschlüsselt. Der Schutz dieser Dateien liegt also in Ihrer Verantwortung.
    Java KeyStore
    Schlüssel werden im JCEKS KeyStore von Java gespeichert. Ein Java KeyStore ist durch ein Passwort geschützt. Daher ist es sicherer als das Speichern von Schlüsseln in einer Datei im Dateispeicher. Ein einzelner Java KeyStore kann mehrere Schlüssel speichern. Die Schlüssel werden durch einen Schlüsselalias identifiziert, wodurch die Verwaltung mehrerer Schlüssel vereinfacht wird.
    Enterprise Key Management (EKM)
    Schlüssel werden mit den Schlüsselverwaltungssystemen SafeNet KeySecure oder Unbound Technology gespeichert und abgerufen.

    Der Edge Encryption Proxy wird mit der Java JCEKS KeyStore-Datei mit dem Namen keystore.jceks im Verzeichnis Schlüsselspeicher geliefert. Diese Schlüsselspeicherdatei enthält den öffentlichen Schlüssel ServiceNow, mit dem die von ServiceNow signierten Verschlüsselungsregeln überprüft werden.

    Hinweis:
    Wenn Sie einen anderen Schlüsselspeicher als das Basissystem Java JCEKS KeyStore verwenden, müssen Sie den öffentlichen Schlüssel ServiceNow in Ihren Schlüsselspeicher importieren. Der Alias für den öffentlichen Schlüssel ist servicenow.

    Zusätzlich zu den Verschlüsselungsschlüsseln wird im Java JCEKS KeyStore das RSA-Schlüsselpaar zum digitalen Signieren der in der Instanz gespeicherten Verschlüsselungskonfigurations- und Verschlüsselungsregeln und das digitale Zertifikat gespeichert, das der Proxy Edge Encryption verwendet, um eine sichere Verbindung mit den Browsern und allen anderen Clients herzustellen.