Changer la configuration de votre racine de confiance

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Faites confiance à vos propres certificats et utilisez-les au lieu de vous appuyer sur ServiceNow des certificats de version (par défaut) en changeant pour utiliser votre racine de confiance (ROT). ServiceNow Les composants tels que les script includes, les règles métier, entre autres, sont signés au moment de la version à l’aide d’une ServiceNow clé au moment de la version (le certificat de vérification correspond au certificat de ServiceNow version).

    Changer la racine de confiance

    Pour modifier la racine de confiance pour ces signatures d’enregistrements, vous devez suivre le processus de changement de racine de confiance.
    • Générez et migrez un nouvel ensemble de signatures pour tous les composants fournis, à l’aide de votre certificat fourni.
    • Désactivez la propriété racine de confiance à l’aide d’une tâche planifiée.
    Pour en savoir plus sur ces étapes, consultez Migrer les signatures pour utiliser un certificat client et Désactiver la racine de confiance ServiceNow.

    Impact sur le processus de vérification et de génération de signature

    Par défaut, les certificats de version de signature de code sont approuvés pendant le processus de vérification de la signature. Une fois cette modification effectuée, votre instance accepte uniquement les signatures provenant de votre propre certificat de signature de code.

    Avant et après modification de la configuration du ROT
    Propriété ROT définie sur faux (par défaut) Propriété ROT définie sur vrai
    • Lors de la vérification, les signatures avec les certificats de version sont approuvées.
    • Lors de la signature, si vous ne fournissez pas de clés, la clé de signature d’instance est utilisée comme clé de secours.
    • Le point api/sn_kmf/signature/certificates de terminaison REST de signature renvoie ServiceNow les certificats de version de signature de code ainsi que d’autres certificats présents sur l’instance.
    • Lors de la vérification, les signatures avec les certificats de construction ne sont pas fiables.
    • Lors de la signature, si vous ne fournissez pas les clés, la signature n’est pas effectuée.
    • Le point api/sn_kmf/signature/certificates de terminaison REST de signature exclut les ServiceNow certificats de build (San Diego, Vancouver PKI, W PKI).

    Impact sur votre MID Server

    Lorsque la propriété ROT est définie sur false
    Si vous choisissez de conserver la valeur par défaut de votre propriété ROT (faux), cela n’a aucun impact sur votre MID Server.
    Lorsque la signature de code est activée et que la propriété ROT est définie sur true
    • L’API isTrusted() renvoie la valeur false pour les signatures avec un certificat de build.
    • L’API isTrusted() renvoie la valeur true pour les signatures accompagnant votre certificat.
    • L’appel d’API REST pour les certificats exclut les certificats de version.
    • Des problèmes de MID Server tels que des messages d’échec de validation de signature peuvent s’afficher dans les journaux.