Mise à niveau d’Edge Encryption

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 8 minutes de lecture

    • Les mises à niveau d’instance et de serveur proxy nécessitent une attention particulière dans un Chiffrement Edge environnement.

    Mises à niveau d'instance

    Les mises à niveau d’instance dans un environnement Edge Encryption nécessitent une certaine prudence pour s’assurer que les contrôles Edge fonctionnent correctement après la mise à niveau de l’instance.

    Lors d’une mise à niveau d’instance, vous ne devez pas ajouter, modifier ou supprimer les éléments suivants :
    • Configurations de Chiffrement Edge
    • Règles Edge Encryption
    • Modèles de tokenisation Chiffrement Edge
    • Travaux planifiés Chiffrement Edge
    • Configurations des clés de chiffrement Edge
    • Mises à niveau planifiées de Chiffrement Edge
    • Configurations IP de la liste de refus de Chiffrement Edge

    Toute tâche planifiée exécutée pendant la mise à niveau de l’instance ne sera pas terminée. Pour terminer la tâche interrompue, réexécutez la tâche une fois l’instance mise à niveau. Lorsque vous replanifiez la tâche, le traitement qui s’est produit avant la mise à niveau de l’instance n’est pas perdu et la tâche continue de traiter uniquement les données qui n’ont pas encore été traitées.

    Mises à niveau du serveur proxy

    Planifiez une mise à niveau du proxy pour permettre à l’instance de mettre à niveau le Chiffrement Edge serveur proxy, ou mettez à niveau manuellement le serveur proxy à tout moment.
    Avertissement :
    Pour une mise à niveau sous Windows, vous pouvez rencontrer des problèmes de verrouillage de fichier et la mise à niveau peut échouer. Pour que la mise à niveau réussisse, aucun fichier ne doit être ouvert dans le répertoire d’installation. De plus, il ne doit pas y avoir de shell existant dans le répertoire d’installation. En particulier, si vous démarrez le proxy à partir de la ligne de commande (via bin\edgeencryption.bat install/start) alors que vous êtes dans le répertoire d’installation, vous devez fermer ce shell ou le déplacer hors du répertoire d’installation par la suite. Aucun fichier dans le répertoire d’installation ne doit être ouvert par un éditeur ou par toute autre application.

    Bibliothèques tierces

    Les bibliothèques tierces, telles que Gemalto, sont perdues lors des mises à niveau des serveurs d’instance et proxy si elles sont conservées dans le même répertoire. Vous pouvez effectuer les actions suivantes pour éviter la perte de bibliothèques tierces lors des mises à niveau :
    1. Ajoutez manuellement la propriété suivante à edgeencryption.properties :

      edgeencryption.ekm.provider.classname = com.snc.edgeencryption.encryption.cloudEdgeNaeKeyProvider

    2. Ajoutez la propriété d’emplacement de la edgeencryption.thirdparty.vendor.library.path bibliothèque fournisseur et définissez-la sur /path/to/jars.

      Par exemple :

      edgeencryption.thirdparty.vendor.library.path = /app/servicenow/libs

    3. Copiez les fichiers JAR SafeNet dans ce chemin d’accès.

    Une fois que vous avez installé les bibliothèques tierces en dehors de l’installation Chiffrement Edge , elles ne sont plus perdues lors des mises à niveau.

    Mises à niveau planifiées

    Important :
    Pendant ServiceNow les mises à niveau d’instance, mettez également à niveau la version de votre serveur proxy pour qu’elle s’aligne sur la version de votre instance et réduise les risques de problèmes de compatibilité.
    Planifiez une mise à niveau pour permettre à l’instance de mettre à niveau le serveur proxy à l’heure prévue. Cette fonctionnalité est disponible par défaut après la mise à niveau. Une mise à niveau planifiée inclut les événements suivants :
    1. Le serveur proxy vérifie auprès de l’instance si une nouvelle version est disponible pour la mise à niveau. Les nouvelles versions deviennent généralement disponibles lorsque l’instance est mise à niveau.
    2. L’administrateur reçoit une notification lors de la connexion lorsqu’une nouvelle version du serveur proxy est disponible.
    3. L’administrateur peut planifier une mise à niveau du serveur proxy Edge Encryption pour chaque serveur proxy.
      Remarque :
      Seuls les utilisateurs disposant du rôle security_admin peuvent créer une planification de mise à niveau via le serveur proxy.
    4. Une fois la mise à niveau planifiée, le serveur proxy effectue automatiquement la mise à niveau à l’heure prévue. Pendant la mise à niveau, le serveur proxy n’est hors ligne que pendant une courte période.
      Remarque :
      Étant donné que le serveur proxy redémarre pendant la mise à niveau, il est hors ligne pendant une courte période. La durée est déterminée par votre environnement et le temps nécessaire pour arrêter et redémarrer le service proxy.
    5. Lors de la mise à niveau planifiée, un nouveau répertoire proxy est créé et vos fichiers de configuration sont copiés dans le nouveau répertoire. Les nouvelles propriétés sont écrites dans votre fichier de propriétés existant. Les fichiers ou répertoires suivants de votre ancien répertoire proxy sont copiés dans le nouveau répertoire proxy.
      • Répertoire /conf
      • Répertoire /keys
      • Répertoire /keystore
      • fichier java/jre/lib/security/cacerts
      Par conséquent, vos clés, magasins de clés, paramètres et certificats sont conservés.
      Remarque :
      Seuls les fichiers ci-dessus sont copiés dans le nouveau répertoire proxy. Les autres fichiers personnalisés dans le répertoire du serveur proxy ne sont pas conservés lors d’une mise à niveau planifiée. Le fichier journal de mise à niveau se trouve dans le répertoire proxy d’origine, dans le dossier suivant : <original-proxy-directory>/tmp/upgrade-wrapper/bin.

    Prérequis pour la mise à niveau planifiée

    Avant de planifier une mise à niveau pour un proxy Edge Encryption, vérifiez les points suivants :
    1. La variable d’environnement JAVA_HOME pointe vers une installation Java sur l’ordinateur qui se trouve en dehors de la structure du répertoire du proxy Edge Encryption.
    2. La variable d’environnement JAVA_HOME pointe vers une installation Java de version 1.8_u144 ou supérieure.
    3. Le -Djava.io.tmpdir paramètre dans le fichier wrapper.conf du proxy Edge Encryption pointe vers un répertoire qui se trouve en dehors de la structure de répertoire du proxy Edge Encryption, et le proxy dispose d’autorisations de lecture/écriture/exécution sur le répertoire. Si vous le souhaitez, vous pouvez commenter entièrement le paramètre afin que Java utilise son emplacement tmp par défaut.

    Mises à niveau manuelles

    Au lieu de créer un calendrier de mise à niveau, vous pouvez mettre à niveau manuellement chaque serveur proxy via la ligne de commande. Voir Mettre à niveau manuellement un serveur proxy Edge Encryption exécuté sur Linux ou Mettre à niveau manuellement un serveur proxy Edge Encryption exécuté sous Windows.

    État de la version du proxy

    Vous pouvez facilement identifier si un serveur proxy n’est pas à jour en accédant à Configuration de Chiffrement Edge > Proxys > Tous. L’état de la version de votre proxy est indiqué dans la colonne Version du proxy par les couleurs suivantes :

    Vert
    Votre serveur proxy est à jour.
    Jaune
    Votre serveur proxy n’est pas à jour et une mise à niveau est nécessaire.
    Orange
    Nous n’avons pas pu procéder à la mise à niveau. Votre serveur proxy revient à l’ancienne version pour s’assurer qu’il n’y a pas de temps d’arrêt.

    Dépanner un échec de mise à niveau de proxy planifiée

    Lorsqu’une mise à niveau de proxy planifiée échoue, le serveur proxy revient à la version à partir de laquelle vous effectuez la mise à niveau. Toutes les données, clés et fichiers de configuration d’origine sont conservés. Ce processus peut prendre plusieurs minutes. Contact Service et assistance client pour garantir la réussite de la mise à niveau.

    Pour déterminer la raison de l’échec, vous pouvez vérifier la raison de l’échec dans le calendrier de mise à niveau. En outre, le répertoire d’installation de l’échec de la mise à niveau est conservé de sorte que les fichiers journaux sont disponibles pour le dépannage.
    Remarque :
    Avant de supprimer des répertoires proxy supplémentaires, vérifiez toujours quel répertoire est à jour en examinant les fichiers journaux. Si les fichiers journaux ont une activité récente, le proxy peut être connecté à votre instance.

    Si la mise à niveau d’un proxy planifiée échoue à plusieurs reprises, vous pouvez mettre à niveau manuellement votre serveur proxy. Consultez Mettre à niveau manuellement un serveur proxy Edge Encryption exécuté sur Linux et Mettre à niveau manuellement un serveur proxy Edge Encryption exécuté sous Windows.

    Configuration minimale requise pour Java

    L’ordinateur hôte qui installe ou exécute le Chiffrement Edge serveur proxy doit disposer d’une version prise en charge de Java. Les versions actuellement prises en charge sont Java 11.0.6 ou ultérieure dans la série de versions 11.x
    Remarque :
    Java 8 n’est plus pris en charge à compter de cette Utah version. Mettez à niveau votre environnement avec le Chiffrement Edge proxy vers Java 11 avant de tenter d’installer la Utah version du Chiffrement Edge proxy.

    Si vous utilisez un chiffrement AES 256 bits avec Java 8 mise à jour 141 (8u141) ou une version antérieure, vous devez installer les fichiers de stratégie de juridiction Java Cryptography Extension (JCE) en les copiant dans le répertoire de base Java système de chaque Chiffrement Edge hôte de serveur proxy. Ajoutez ces fichiers au dossier <Java-home-directory>/jre/lib/security avant d’effectuer une mise à niveau planifiée ou manuelle. Pour installer les fichiers de stratégie de chiffrement AES 256 bits, reportez-vous à la section Configurer la clé de chiffrement AES 256 bits.

    Environnements mixtes de versions proxy

    Bien qu’il ne soit pas recommandé d’utiliser un environnement exécutant d’anciennes versions du serveur proxy avec des versions à jour du serveur proxy, il est possible de le faire si tous les serveurs proxy se trouvent dans la même famille de versions que votre instance. Par exemple, si vous avez une instance sur la Washington DC version, votre environnement prend en charge les serveurs proxy à partir de n’importe quel Washington DC correctif ou correctif d’urgence. Toutefois, les limitations suivantes s’appliquent.

    • Si un serveur proxy prend en charge des fonctionnalités qu’un autre proxy ne prend pas en charge, vous constaterez un comportement incohérent, selon le serveur proxy utilisé.
    • Si un serveur proxy n’est pas à jour, il se peut qu’il n’inclue pas les améliorations de sécurité récentes.

    Si un serveur proxy d’une version précédente est enregistré avec une version plus récente de l’instance, vous recevrez régulièrement des notifications indiquant que le serveur proxy n’est pas à jour. Pour garantir un environnement optimal et sécurisé, ServiceNow il est recommandé de toujours mettre à niveau votre serveur proxy vers la version la plus récente du logiciel pris en charge par votre instance.