Configurer l’échange de clés
Key Management Framework (KMF) génère des demandes d’échange de clés automatiques pour les modules de chiffrement pris en charge lors de la nouvelle installation ou de la mise à niveau de l’instance. Gère la clé de chiffrement des données localement pour l’instance.
Avant de commencer
Un module cryptographique avec une clé doit être créé dans les instances cible et source avant d’être utilisé Key Exchange.
Rôle requis : sn_kmf.cryptographic_manager
Pourquoi et quand exécuter cette tâche
Key Exchange les demandes sont lancées à partir de l’instance cible.
L’échange de clés automatique est actif par défaut lors du clonage d’une instance, où la propriété est clonée sur l’instance cible. Configurez les KMF propriétés système pour gérer la façon dont les clés sont traitées lors d’un clone d’instance :
- Désactiver l’échange automatique de clés : Définissez la propriété sur false pour les glide_encryption.auto_key_exchange.enabled demandes de clone récurrentes.
- Envoyer des demandes d’échange de clé automatique : définissez cette propriété sur vrai.
Procédure
-
Remplissez les champs du formulaire.
Tableau 1. Resource Exchange Champs du formulaire de demande Nom Description Fréquence d’échange - Adhoc : envoie des demandes de l’instance cible clé à l’instance source. Entrez le sys_id d’instance et les informations sur l’hôte pour la source. Non pris en charge avec Renouvellement de saisie de l’échange de clés.
- Clone unique : échange unique des clés des spécifications de chiffrement source vers l’instance cible.
- Clone récurrent : échangez des clés des spécifications de chiffrement source sélectionnées vers l’instance cible sur un clone récurrent défini.
<Source or Target> sys_id d’instance - Adhoc : entrez la sys_id de l’instance source à laquelle demander les clés.
- Clone unique, clone récurrent : entrez l’sys_id de l’instance cible qui envoie les demandes.Conseil :Entrez stats.do dans le navigateur d’applications pour localiser l’ID de l’instance.
<Source or Target> Hôte d’instance Entrez l’emplacement de l’hôte ou le nom de l’instance source ou cible. Conseil :Par exemple, instanceA.service-now.comSpécifications de chiffrement Les clés de la spécification de chiffrement dans un module de chiffrement définissent les clés à cloner. Pour les demandes de clone ponctuelles et récurrentes, votre instance crée automatiquement une politique d’accès au module d’échange de ressources . Vous n’avez pas besoin de configurer une politique manuellement. Remarque :Sélectionnez l’icône Rechercher à l’aide de la liste (icône
pour parcourir les spécifications cryptographiques disponibles.Activer le renouvellement de saisie après l’importation de la clé Option permettant d’activer le renouvellement de saisie automatique. -
Sélectionnez Envoyer.
En cas de réussite, une confirmation s’affiche en haut du formulaire. La table Requests (Demandes) est mise à jour avec une entrée Request Pending (Demande en attente) dans l’instance source et dans l’instance cible. Ouvrez l’enregistrement de la demande pour afficher l’état de la demande, le nombre de clés importées et le nombre total de clés sur l’hôte cible ou source.
-
La demande en attente est acceptée dans l’instance source pour terminer l’échange.
Au moment du clonage, la politique d’accès au module sur l’instance source est invoquée pour approuver automatiquement la demande et envoyer les clés à la cible nouvellement clonée.
Résultats
Après une tentative d’échange de clé, votre instance de non-production met à jour la protected.script.values.kmf.rekeyed propriété système. Cette propriété est visible dans la table Propriétés système [sys_properties] après une tentative d’échange de clé. Si le chiffrement à l’aide de la clé échangée réussit, cette propriété a la valeur true. Sinon, la propriété a une valeur faux. Si la valeur est fausse, l’instance tente à nouveau de chiffrer le lendemain.