Konfigurieren Sie den Schlüsselaustausch

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Key Management Framework (KMF) generiert während der Neuinstallation oder des Upgrades der Instanz einen automatischen Schlüsselaustausch für unterstützte kryptografische Module. verwaltet lokal den Datenverschlüsselungsschlüssel für die Instanz.

    Vorbereitungen

    Vor der Verwendung von Key Exchangemuss sowohl in der Ziel- als auch in der Quellinstanz ein kryptografisches Modul mit einem Schlüssel erstellt werden.

    Erforderliche Rolle: sn_kmf.cryptographic_manager

    Warum und wann dieser Vorgang ausgeführt wird

    Key Exchange -Anforderungen werden von der Zielinstanz aus initiiert.

    Der automatische Schlüsselaustausch ist beim Klonen einer Instanz standardmäßig aktiv, wobei die Eigenschaft in die Zielinstanz geklont wird. Konfigurieren Sie zusammen mit KMFSystemeigenschaften, um zu verwalten, wie Schlüssel während eines Instanzklons behandelt werden:

    • Automatischen Schlüsselaustausch deaktivieren: Legen Sie die Eigenschaft glide_encryption.auto_key_exchange.enabled für wiederkehrende Klonanforderungen auf „falsch“ fest.
    • Anforderungen zum automatischen Schlüsselaustausch senden: Legen Sie diese Eigenschaft auf „wahr“fest.
    Wichtig:
    Die Basissystemeigenschaft ist standardmäßig auf „true“ festgelegt. Dies bedeutet, dass der automatische Schlüsselaustausch beim Klonen einer Instanz aktiviert ist. Dieser Wert muss auf „false“ festgelegt werden, wenn Sie die Funktion Schlüsseltext mit Schlüsselaustausch neu schlüsseln oder den wiederkehrenden Schlüsselaustausch verwenden. Weitere Einzelheiten erhalten Sie unter Tour zum Austausch wiederkehrender Schlüssel.

    Prozedur

    1. Navigieren zu Alle > Schlüsselverwaltung > Ressourcenaustausch-Anforderungen > Neu.
    2. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Ressourcenaustausch Anforderungsformularfelder
      Name Beschreibung
      Austauschhäufigkeit
      • Ad-hoc: Sendet Anforderungen von der wichtigsten Zielinstanz an die Quellinstanz. Geben Sie die sys_id der Instanz und die Hostinformationen für die Quelle ein. Wird mit „Rekey of Key Exchange“ nicht unterstützt.
      • Einmaliger Klon: Einmaliger Austausch der Schlüssel von den Krypto-Quellspezifikationen zur Zielinstanz.
      • Wiederkehrender Klon: Tauscht Schlüssel aus den ausgewählten Quell-Krypto-Spezifikationen mit der Zielinstanz in einem definierten wiederkehrenden Klon aus.
      <Source or Target> sys_id der Instanz
      • Ad-hoc: Geben Sie die sys_id für die Quellinstanz ein, von der die Schlüssel angefordert werden sollen.
      • Einmaliger Klon, Wiederkehrender Klon: Geben Sie die sys_id für die Zielinstanz ein, die die Anforderungen sendet.
        Tipp:
        Geben Sie im Anwendungsnavigator stats.do ein, um die Instanz-ID zu finden.
      <Source or Target> Instanz-Host Geben Sie den Hoststandort oder den Namen der Quell- oder Zielinstanz ein.
      Tipp:
      Beispiel : instanceA.service-now.com
      Krypto-Spezifikationen Die Schlüssel aus der Krypto-Spezifikation in einem Krypto-Modul definieren die zu klonenden Schlüssel. Sowohl für einmalige als auch für wiederkehrende Klonanforderungen erstellt Ihre -Instanz automatisch eine Resource Exchange- Modulzugriffsrichtlinie. Sie müssen eine Richtlinie nicht manuell konfigurieren.
      Hinweis:
      Wählen Sie das Symbol „Nachschlagen mit Liste“ ( Symbol „Nachschlagen mit Liste“.), um die verfügbaren kryptografischen Spezifikationen zu durchsuchen.
      Erneute Schlüsselerstellung nach importiertem Schlüssel aktivieren Option zum Aktivieren der automatischen Schlüsselerstellung.
    3. Wählen Sie Absenden.
      Bei Erfolg wird oben im Formular eine Bestätigung angezeigt. Die Tabelle „Anforderungen“ wird mit dem Eintrag „ Anforderung ausstehend“ sowohl in der Quellinstanz als auch in der Zielinstanz aktualisiert. Öffnen Sie den Anforderungsdatensatz, um den Status der Anforderung, die Anzahl der importierten Schlüssel und die Gesamtanzahl der Schlüssel auf dem Ziel- oder Quellhost anzuzeigen.
      Zeigt den Anforderungsstatus für Anforderungen an.
    4. Die ausstehende Anforderung wird in der Quellinstanz akzeptiert, um den Austausch abzuschließen.

      Zum Zeitpunkt des Klonens wird die Modulzugriffsrichtlinie in der Quellinstanz aufgerufen, um die Anforderung automatisch zu genehmigen und Schlüssel an das neu geklonte Ziel zu senden.

      Im Feld Status des Anforderungsdatensatzes wird „Anforderung genehmigt“ angezeigt.

    Ergebnisse

    Nachdem ein Schlüsselaustausch versucht wurde, aktualisiert Ihre Instanz außerhalb der Produktion die Systemeigenschaft protected.script.values.kmf.rekeyed. Diese Eigenschaft ist in der Tabelle „Systemeigenschaften“ [sys_properties] sichtbar, nachdem versucht wurde, einen Schlüssel auszutauschen. Wenn die Verschlüsselung mit dem ausgetauschten Schlüssel erfolgreich ist, hat diese Eigenschaft den Wert true. Andernfalls hat die Eigenschaft den Wert false. Wenn der Wert „false“ ist, versucht die Instanz am nächsten Tag erneut, zu verschlüsseln.