Richten Sie eine sichere Verbindung zum ein Hermes Messaging-Service

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Sichern Sie Ihre Kafka-Themen, indem Sie ein von der Instanz ServiceNow® signiertes Zertifikat generieren.

    Vorbereitungen

    Das Einrichten von Hermes Messaging-Service erfordert eine Abstimmung mit Ihrem Netzwerkadministrator und mit Ihrem Kafka-Administrator. Wenden Sie sich an Ihren Netzwerkadministrator, um die erforderlichen Sicherheitszertifikate zu erhalten und die erforderlichen Ports zu öffnen. Arbeiten Sie mit Ihrem Kafka-Administrator zusammen, um sicherzustellen, dass Ihre Kafka-Umgebung ordnungsgemäß konfiguriert ist und Ihre Anwendungen über das Standard-Kafka-Protokoll eine Verbindung zu Hermes Messaging-Service herstellen können.

    Stellen Sie sicher, dass das folgende Setup vorhanden ist:

    • Hermes Messaging-Service wird aktiviert. Weitere Informationen finden Sie unter Hermes Messaging-Service -Aktivierung.
    • Das Plugin „Key Management Framework“ (com.glide.kmf.global) ist aktiviert.
    • Die Tabelle „Zertifikate“ [sys_kmf_certificate] enthält das Stammzertifizierungszertifikat der Instanz ServiceNow.
    • Die Instanz ist nicht mit einer anwenderdefinierten URL konfiguriert. Anwenderdefinierte URLs werden mit dem Zertifikatgenerator der Instanz-PKI nicht unterstützt.

    Erforderliche Rolle: hermes_admin, sn_kmf.cryptographic_manager oder admin

    Weitere Informationen zum Zuweisen von KMF-Rollen finden Sie unter Roles installed with Key Management Framework.

    Prozedur

    1. Navigieren zu Alle > Zertifikatgenerator > Zertifikatgenerator für Instanz-PKI.
    2. Wahlweise: Steuern Sie den Zugriff auf Themen, indem Sie Zugriffssteuerungslisten (ACLs) auf Namespace- oder Themenebene konfigurieren.
      OptionBeschreibung
      Wenden Sie ACLs auf Namespaces an
      1. Wählen Sie ACLs konfigurierenaus.
      2. Wählen Sie im Dialogfeld „Themen-ACLs“ die Option Namespacesaus.
      3. Geben Sie einen Namespace ein, den Sie konfigurieren möchten.
      4. Legen Sie die Berechtigungsebene fest, indem Sie entweder Nur Lesen oder Lesen/Schreibenauswählen.
      5. Wählen Sie Hinzufügen.
      Wenden Sie ACLs auf definierte Themen an
      1. Wählen Sie ACLs konfigurierenaus.
      2. Wählen Sie im Dialogfeld „Themen-ACLs“ die Option Definierte Themenaus.
      3. Geben Sie ein vorhandenes Thema ein, das Sie konfigurieren möchten.
      4. Legen Sie die Berechtigungsebene fest, indem Sie entweder Nur Lesen oder Lesen/Schreibenauswählen.
      5. Wählen Sie Hinzufügen.
      Dem Inhaber des Zertifikats wird Lese- oder Lese-/Schreibzugriff auf die Themen im Namespace oder auf das von Ihnen ausgewählte vorhandene Thema gewährt.
    3. Richten Sie die Sicherheit für Hermes Messaging-Serviceein.
      1. Navigieren Sie zurück zur Seite „Instance PKI Certificate Generator“.
      2. Geben Sie im Feld Zertifikatpasswort ein Schlüsselspeicher-Passwort ein.
      3. Wählen Sie Generierenaus.
      Das System generiert in der Tabelle „Zertifikate“ [sys_kmf_certificate] ein von der Instanz signiertes Zertifikat und erstellt einen Schlüsselspeicher sowie einen Truststore.

      Wenn der eingeschränkte Aufruferzugriff für den IPKI-Zertifikatgenerator nicht genehmigt wird, wird ein Fehler für den bereichsübergreifenden Zugriff angezeigt. Wenden Sie sich an Kundenservice und Support, um Unterstützung bei der Genehmigung des eingeschränkten Anruferzugriffs zu erhalten.

    4. Speichern Sie eine Kopie des Schlüsselspeichers, indem Sie Schlüsselspeicher herunterladenwählen.
    5. Speichern Sie eine Kopie des Truststores, indem Sie Truststore herunterladenwählen.
    6. Kopieren Sie die Schlüsselspeicher- und Truststore-Dateien auf jeden Ersteller- und Verbraucher-Client, der eine Verbindung zu Hermes Messaging-Serviceherstellt.

    Ergebnisse

    Sie können jetzt eine sichere Verbindung mit Hermes Messaging-Serviceherstellen.

    Hinweis:
    Sie müssen den Schlüsselspeicher verwenden, den Sie mit dem Instance PKI Certificate Generator generiert haben, um eine Verbindung zu Hermesherzustellen. Anwenderdefinierte Schlüsselspeicher, die nicht gemäß der Dokumentation ServiceNow erstellt wurden, werden nicht unterstützt.

    Nächste Maßnahme