Ändern Sie Ihre Root of Trust-Konfiguration

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Vertrauen Sie Ihren eigenen Zertifikaten, und verwenden Sie sie, anstatt sich auf zu verlassen ServiceNow Erstellen Sie Zertifikate (Standard), indem Sie in „Root of Trust verwenden“ (ROT) ändern. ServiceNow Komponenten wie Skripteinbindungen, Geschäftsregeln usw. werden beim Build mit signiert ServiceNow Build-Zeitschlüssel (Verifizierungszertifikat ist der ServiceNow Zertifikat erstellen).

    Vertrauensbasis wird geändert

    Um den Root of Trust für diese Datensatzsignaturen zu ändern, müssen Sie den Change of Trust-Prozess befolgen.
    • Generieren und migrieren Sie einen neuen Satz von Signaturen für alle bereitgestellten Komponenten mit Ihrem bereitgestellten Zertifikat.
    • Deaktivieren Sie die Eigenschaft „Root of Trust“ mit einer geplanten Aufgabe.
    Weitere Informationen zu diesen Schritten finden Sie unter Migrieren Sie Signaturen, um ein Kundenzertifikat zu verwenden Und Deaktivieren Sie ServiceNow Root of Trust.

    Auswirkung auf den Signaturgenerierungs- und Verifizierungsprozess

    Standardmäßig werden Codesignatur-Build-Zertifikate während des Signaturverifizierungsprozesses vertrauenswürdig. Nachdem Sie diese Änderung vorgenommen haben, akzeptiert Ihre Instanz Signaturen nur aus Ihrem eigenen Codesignaturzertifikat.

    Vor und nach dem Ändern der ROT-Konfiguration
    ROT-Eigenschaft auf „falsch“ festgelegt (Standard) ROT-Eigenschaft auf „wahr“ festgelegt
    • Bei der Überprüfung werden Signaturen mit Build-Zertifikaten vertrauenswürdig.
    • Wenn Sie beim Signieren keine Schlüssel angeben, wird der Instanzsignaturschlüssel als Sicherungsschlüssel verwendet.
    • Der REST-Endpunkt der Signatur api/sn_kmf/signature/certificatesGibt zurück ServiceNow Codesignatur-Build-Zertifikate zusammen mit anderen Zertifikaten, die in der Instanz vorhanden sind.
    • Bei der Überprüfung werden Signaturen mit Build-Zertifikaten nicht vertrauenswürdig.
    • Wenn Sie beim Signieren keine Schlüssel angeben, wird das Signieren nicht ausgeführt.
    • Der REST-Endpunkt der Signatur api/sn_kmf/signature/certificatesAusgeschlossen ServiceNow Erstellen Sie Zertifikate (San Diego, Vancouver PKI, W PKI).

    Auswirkung auf Ihren MID-Server

    Wenn die ROT-Eigenschaft auf „falsch“ festgelegt ist
    Wenn Sie die Eigenschaft ROT auf den Standardwert (falsch) belassen, hat dies keine Auswirkungen auf Ihren MID-Server.
    Wenn Codesignatur aktiviert ist und die Eigenschaft ROT auf „wahr“ festgelegt ist
    • Die IsTrusted() API gibt zurück Falsch Für Signaturen mit einem Build-Zertifikat.
    • Die IsTrusted() API gibt zurück Wahr Für Signaturen mit Ihrem Zertifikat.
    • Der REST-API-Aufruf für Zertifikate schließt Build-Zertifikate aus.
    • Möglicherweise sehen Sie MID-Server-Probleme, z. B. Signaturvalidierung fehlgeschlagen Nachrichten in den Protokollen.