鍵交換の設定

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む3読むのに数分

    • Key Management Framework (KMF) は、インスタンスの新規インストールまたはアップグレード時に、サポートされている暗号化モジュールに対する自動鍵交換要求を生成します。 は、インスタンスのデータ暗号化キーをローカルに管理します。

    始める前に

    キーを持つ暗号化モジュールは、 を使用する Key Exchange前にターゲットインスタンスとソースインスタンスの両方で作成する必要があります。

    必要なロール:sn_kmf.cryptographic_manager

    このタスクについて

    Key Exchange要求はターゲットインスタンスから開始されます。

    自動鍵交換は、プロパティがターゲットインスタンスにクローンされるインスタンスをクローンするときにデフォルトで有効になります。KMF とともに、システムプロパティを設定して、インスタンスのクローン中のキーの処理方法を管理します。

    • 自動鍵交換のオフ:繰り返しクローン要求の glide_encryption.auto_key_exchange.enabled プロパティを false に設定します。
    • 自動鍵交換要求の送信:このプロパティを true に設定します。
    重要:
    ベースシステムプロパティはデフォルトで true に設定されています。これは、インスタンスのクローン作成時に自動鍵交換がアクティブ化されることを意味します。または繰り返し鍵交換機能を使用している場合は鍵交換によるリキー暗号テキスト、この値を false に設定する必要があります。詳細については「繰り返し鍵交換のチュートリアル」を参照してください。

    手順

    1. 移動先 すべて > キー管理 > リソース交換要求 > 新規.
    2. フォームのフィールドに入力します。
      表 : 1. Resource Exchange要求フォームのフィールド
      名前 説明
      交換頻度
      • アドホック:キーターゲットインスタンスからソースインスタンスへ要求を送信します。ソースのインスタンスの sys_id とホスト情報を入力します。鍵交換のリキーではサポートされていません。
      • ワンタイムクローン:ソース暗号化仕様からターゲットインスタンスへのキーの 1 回限りの交換。
      • 繰り返しクローン:定義された繰り返しクローンで、選択したソース暗号化仕様からターゲットインスタンスにキーを交換します。
      <Source or Target> インスタンス sys_id
      • アドホック:キーを要求するソースインスタンスの sys_id を入力します。
      • 1 回限りのクローン繰り返しクローン:要求を送信するターゲットインスタンスの sys_id を入力します。
        ヒント:
        アプリケーションナビゲーターに「stats.do」と入力してインスタンス ID を見つけます。
      <Source or Target> インスタンスホスト ソースまたはターゲットインスタンスのホストの場所または名前を入力します。
      ヒント:
      たとえば 、instanceA.service-now.com
      暗号化仕様 暗号化モジュールの暗号化仕様のキーによって、クローンするキーが定義されます。1 回限りのクローン要求と繰り返しのクローン要求の両方で、インスタンスは リソース交換 モジュールアクセスポリシーを自動的に作成します。ポリシーを手動で設定する必要はありません。
      注:
      [リストから参照] アイコン ([ リストから参照] アイコン) を選択して、使用可能な暗号化仕様を参照します。
      キーのインポート後にリキーを有効にする 自動リキーを有効にするオプション。
    3. [送信] を選択します。
      成功すると、フォームの上部に確認が表示されます。[要求] テーブルは、ソースインスタンスとターゲットインスタンスの両方で [要求保留中 ] のエントリで更新されます。要求レコードを開くと、要求のステータス、インポートされたキー数、およびターゲットまたはソースホストの合計キー数が表示されます。
      要求の要求ステータスを表示します。
    4. 処理待ちの要求がソースインスタンスで受け入れられ、交換が完了します。

      クローン時に、ソースインスタンスのモジュールアクセスポリシーが呼び出され、要求が自動的に承認されて、新しくクローンされたターゲットにキーが送信されます。

      [Request Approved] が要求レコードの [Status] フィールドに表示されます。

    タスクの結果

    鍵交換が試行された後、非本番インスタンスで protected.script.values.kmf.rekeyed システムプロパティが更新されます。このプロパティは、鍵交換が試行された後、システムのプロパティ [sys_properties] テーブルに表示されます。交換されたキーを使用した暗号化が成功した場合、このプロパティの値は true です。それ以外の場合、プロパティの値は false です。値が false の場合、インスタンスは翌日に暗号化を再試行します。