Upgrade von Edge Encryption

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 6 Minuten Lesedauer

    • Sowohl Instanz-Upgrades als auch Proxy-Server-Upgrades erfordern in einer Edge Encryption-Umgebung eine besondere Berücksichtigung.

    Instanz-Upgrades

    Instanz-Upgrades in einer Edge-Encryption-Umgebung erfordern Vorsicht, um sicherzustellen, dass die Edge-Steuerelemente nach dem Instanz-Upgrade ordnungsgemäß funktionieren.

    Während eines Instanz-Upgrades sollten Sie Folgendes nicht hinzufügen, bearbeiten oder löschen:
    • Edge Encryption-Konfigurationen
    • Edge Encryption-Regeln
    • Edge Encryption-Tokenisierungsmuster
    • Geplante Aufträge für die Edge Encryption
    • Edge Encryption-Schlüsselkonfigurationen
    • Geplante Upgrades für die Edge Encryption
    • IP-Konfigurationen für Edge Encryption auf Deny-Liste

    Ein geplanter Auftrag, der während des Instanz-Upgrades ausgeführt wird, wird nicht abgeschlossen. Um den unterbrochenen Auftrag abzuschließen, führen Sie den Auftrag nach dem Instanz-Upgrade erneut aus. Wenn Sie den Auftrag neu einplanen, geht die Verarbeitung, die vor dem Instanz-Upgrade stattgefunden hat, nicht verloren, und der Auftrag verarbeitet weiterhin nur die Daten, die noch nicht verarbeitet wurden.

    Proxy-Server-Upgrades

    Planen Sie ein Proxy-Upgrade, damit die Instanz den Edge Encryption Proxy-Server aktualisieren oder den Proxy-Server jederzeit manuell aktualisieren kann.
    Warnung:
    Bei einem Upgrade unter Windows können Probleme mit Dateisperren auftreten, und das Upgrade schlägt möglicherweise fehl. Für ein erfolgreiches Upgrade dürfen im Installationsverzeichnis keine Dateien geöffnet sein. Außerdem darf im Installationsverzeichnis keine Shell vorhanden sein. Insbesondere wenn Sie den Proxy über die Befehlszeile starten (über bin\edgeencryption.bat install/start), während Sie sich im Installationsverzeichnis befinden, sollten Sie diese Shell schließen oder sie anschließend aus dem Installationsverzeichnis verschieben. Keine Dateien im Installationsverzeichnis dürfen mit einem Editor oder einer anderen Anwendung geöffnet werden.

    Bibliotheken von Drittparteien

    Bibliotheken von Drittparteien, z. B. Gemalto, gehen bei Upgrades von Instanzen und Proxy-Servern verloren, wenn sie sich im selben Verzeichnis befinden. Um den Verlust von Drittparteibibliotheken während Upgrades zu verhindern, können Sie wie folgt vorgehen:
    1. Fügen Sie die folgende Eigenschaft manuell zu „edgeencryption.properties“ hinzu:

      „edgeencryption.ekm.provider.classname“ = com.snc.edgeencryption.encryption.CloudEdgeNaeKeyProvider

    2. Fügen Sie die Standorteigenschaft der Lieferantenbibliothek edgeencryption.thirdparty.vendor.library.path hinzu, und legen Sie sie auf /path/to/jarsfest.

      Beispiel:

      „edgeencryption. thirdparty.vendor.library.path“ = /app/servicenow/libs

    3. Kopieren Sie die SafeNet-JARs in diesen Pfad.

    Nachdem Sie die Drittparteibibliotheken außerhalb der Edge Encryption -Installation installiert haben, gehen sie bei Upgrades nicht mehr verloren.

    Geplante Upgrades

    Wichtig:
    Aktualisieren Sie bei Upgrades der ServiceNow -Instanz auch die Version Ihres Proxy-Servers, um sie an die Version Ihrer -Instanz anzupassen und das Risiko von Kompatibilitätsproblemen zu verringern.
    Planen Sie ein Upgrade, damit die Instanz den Proxy-Server zum geplanten Zeitpunkt aktualisieren kann. Diese Funktionalität ist nach dem Upgrade standardmäßig verfügbar. Ein geplantes Upgrade umfasst folgende Events:
    1. Der Proxy-Server überprüft bei der Instanz, ob eine neue Version für das Upgrade verfügbar ist. Neue Versionen werden im Allgemeinen verfügbar, wenn die Instanz aktualisiert wird.
    2. Der Administrator erhält beim Anmelden eine Benachrichtigung, wenn eine neue Version des Proxy-Servers verfügbar ist.
    3. Der Administrator kann für jeden Proxy-Server Ein Upgrade des Edge Encryption Proxy-Servers planen.
      Hinweis:
      Nur Benutzer mit der Rolle „security_admin“ können einen Upgrade-Zeitplan über den Proxy-Server erstellen.
    4. Sobald das Upgrade geplant ist, wird der Proxy-Server automatisch zum geplanten Zeitpunkt aktualisiert. Während des Upgrades ist der Proxy-Server nur für kurze Zeit offline.
      Hinweis:
      Da der Proxy-Server während des Upgrades neu startet, ist er für kurze Zeit offline. Die Zeitdauer wird von Ihrer Umgebung bestimmt und wie lange es dauert, den Proxy-Dienst zu stoppen und erneut zu starten.
    5. Während des geplanten Upgrades wird ein neues Proxy-Verzeichnis erstellt und Ihre Konfigurationsdateien werden in das neue Verzeichnis kopiert. Neue Eigenschaften werden in Ihre vorhandene Eigenschaftendatei geschrieben. Die folgenden Dateien oder Verzeichnisse in Ihrem alten Proxy-Verzeichnis werden in das neue Proxy-Verzeichnis kopiert.
      • Das Verzeichnis /conf
      • Das Verzeichnis /keys
      • Das Verzeichnis /keystore
      • Die Datei java/jre/lib/security/cacerts
      Dadurch bleiben Ihre Schlüssel, Schlüsselspeicher, Einstellungen und Zertifikate erhalten.
      Hinweis:
      Nur die oben genannten Dateien werden in das neue Proxy-Verzeichnis kopiert. Andere angepasste Dateien im Proxy-Server-Verzeichnis werden während eines geplanten Upgrades nicht beibehalten. Die Upgrade-Protokolldatei befindet sich im ursprünglichen Proxy-Verzeichnis im folgenden Ordner: <original-proxy-directory>/tmp/upgrade-wrapper/bin.

    Voraussetzungen für geplante Upgrades

    Stellen Sie vor dem Planen eines Upgrades für einen Edge Encryption Proxy Folgendes sicher:
    1. Die Umgebungsvariable JAVA_HOME verweist auf eine Java-Installation auf dem Computer, der sich außerhalb der Verzeichnisstruktur des Edge Encryption Proxys befindet.
    2. Die Umgebungsvariable JAVA_HOME verweist auf eine Java-Installation mit Version 1.8_u144 oder höher.
    3. Der Parameter -Djava.io.tmpdir in der Datei „wrapper.conf“ des Edge Encryption-Proxy verweist auf ein Verzeichnis, das AUSSERHALB der Verzeichnisstruktur des Edge Encryption-Proxy liegt, und der Proxy verfügt über Lese-/Schreib-/Ausführungsberechtigungen für das Verzeichnis. Optional können Sie den Parameter vollständig auskommentieren, so dass Java seinen Standard-TMP-Speicherort verwendet.

    Manuelle Upgrades

    Anstatt einen Aktualisierungszeitplan zu erstellen, können Sie jeden Proxy-Server über die Befehlszeile manuell aktualisieren. Siehe Einen unter Linux laufenden Edge Encryption Proxy-Server manuell aktualisieren oder Einen unter Windows laufenden Edge Encryption Proxy-Server manuell aktualisieren.

    Proxy-Build-Status

    Sie können leicht feststellen, ob ein Proxy-Server veraltet ist, indem Sie zu navigieren Konfiguration der Edge Encryption > Proxys > Alle. Der Status Ihres Proxy-Builds wird in der Spalte Proxy Build mit den folgenden Farben dargestellt:

    Grün
    Ihr Proxy-Server ist auf dem neuesten Stand.
    Gelb
    Ihr Proxy-Server ist veraltet und ein Upgrade ist erforderlich.
    Orange
    Upgrade fehlgeschlagen. Ihr Proxy-Server wird auf die alte Version zurückgesetzt, um sicherzustellen, dass keine Ausfallzeiten auftreten.

    Problembehandlung bei einem fehlgeschlagenen geplanten Proxy-Upgrade

    Wenn ein geplantes Proxy-Upgrade fehlschlägt, wird der Proxy-Server auf die Version zurückgesetzt, von der Sie ein Upgrade durchführen. Alle Originaldaten, Schlüssel und Konfigurationsdateien bleiben erhalten. Dieser Vorgang kann mehrere Minuten dauern. Kontaktieren Sie Kundenservice und Support, um ein erfolgreiches Upgrade sicherzustellen.

    Um den Grund für den Fehler zu ermitteln, können Sie Fehlergrund im Upgrade-Zeitplan überprüfen. Darüber hinaus wird das Installationsverzeichnis für das fehlgeschlagene Upgrade beibehalten, sodass Protokolldateien für die Problembehandlung verfügbar sind.
    Hinweis:
    Überprüfen Sie vor dem Löschen zusätzlicher Proxy-Verzeichnisse immer, welches Verzeichnis aktuell ist, indem Sie die Protokolldateien überprüfen. Wenn die Protokolldateien eine aktuelle Aktivität aufweisen, ist der Proxy möglicherweise mit Ihrer Instanz verbunden.

    Wenn ein geplantes Proxy-Upgrade wiederholt fehlschlägt, können Sie Ihren Proxy-Server manuell aktualisieren. Weitere Informationen finden Sie unter Einen unter Linux laufenden Edge Encryption Proxy-Server manuell aktualisieren und Einen unter Windows laufenden Edge Encryption Proxy-Server manuell aktualisieren.

    Java-Mindestanforderungen

    Auf dem Hostcomputer, auf dem der Proxy-Server Edge Encryption installiert oder ausgeführt wird, muss eine unterstützte Version von Java installiert sein. Derzeit unterstützte Versionen sind Java 17.0.3 oder höher in der 17.x-Versionsserie.
    Hinweis:
    Java 11 wird ab dem Yokohama-Release nicht mehr unterstützt. Aktualisieren Sie Ihre -Umgebung mit dem -Proxy Edge Encryption auf Java 17, bevor Sie versuchen, den Yokohama Edge Encryption - Proxy oder höher oder höher zu installieren.

    Wenn Sie die AES 256-Bit-Verschlüsselung mit Java 8 Update 141 (8u141) oder niedriger verwenden, müssen Sie die Java Cryptography Extension (JCE) Jurisdiction Policy Files installieren, indem Sie sie in das Java-Stammverzeichnis des Systems des jeweiligen Edge Encryption Proxy-Server-Host kopieren. Fügen Sie diese Dateien dem Ordner <Java-home-directory>/jre/lib/security hinzu, bevor Sie ein geplantes oder manuelles Upgrade durchführen. Informationen zur Installation der Richtliniendateien für die AES-256-Bit-Verschlüsselung finden Sie unter Konfigurieren Sie den AES-256-Bit-Verschlüsselungsschlüssel.

    Umgebungen mit gemischten Proxy-Versionen

    Obwohl eine Umgebung, in der alte Versionen des Proxy-Servers mit aktuellen Versionen des Proxy-Servers ausgeführt werden, nicht empfehlenswert ist, wird sie unterstützt, wenn sich alle Proxy-Server in der gleichen Versionsfamilie wie Ihre Instanz befinden. Wenn Sie beispielsweise eine Instanz im Yokohama Release haben, unterstützt Ihre Umgebung Proxy-Server von jedem Yokohama Patch oder Hotfix. Es gelten jedoch die folgenden Einschränkungen.

    • Wenn ein Proxy-Server Funktionen unterstützt, die ein anderer Proxy nicht unterstützt, tritt ein inkonsistentes Verhalten auf, je nachdem, welcher Proxy-Server verwendet wird.
    • Wenn ein Proxy-Server nicht mehr aktuell ist, enthält er möglicherweise keine aktuellen Sicherheitsverbesserungen.

    Wenn ein Proxy-Server aus einer früheren Version mit einer neueren Version der Instanz registriert wird, erhalten Sie regelmäßig Benachrichtigungen, dass der Proxy-Server nicht mehr aktuell ist. Um eine optimale und sichere Umgebung zu gewährleisten, empfiehlt ServiceNow, den Proxy-Server stets auf die neueste Version der von Ihrer Instanz unterstützten Software zu aktualisieren.