Configurer l’échange de clés
Key Management Framework (KMF) génère des demandes automatiques d’échange de clés pour les modules de chiffrement pris en charge lors de la nouvelle installation ou de la mise à niveau de l’instance. Gère la clé de chiffrement des données localement pour l’instance.
Avant de commencer
Un module de chiffrement avec une clé doit être créé dans les instances cible et source avant d’utiliser Key Exchange.
Rôle requis : sn_kmf.cryptographic_manager
Pourquoi et quand exécuter cette tâche
Key Exchange Les demandes sont lancées à partir de l’instance cible.
L’échange automatique de clés est actif par défaut lors du clonage d’une instance, où la propriété est clonée vers l’instance cible. KMFAvec , configurez les propriétés système pour gérer la façon dont les clés sont traitées pendant un clone d’instance :
- Désactivez l’échange automatique de clés : Définissez la propriété sur faux pour les glide_encryption.auto_key_exchange.enabled demandes de clone récurrentes.
- Envoyer des demandes d’échange de clé automatique : définissez cette propriété sur vrai.
Procédure
-
Renseignez les champs du formulaire.
Tableau 1. Resource Exchange Champs du formulaire de demande Nom Description Fréquence d'échange - Adhoc : envoie des demandes de l’instance cible clé à l’instance source. Entrez l’sys_id d’instance et les informations d’hôte pour la source. Non pris en charge avec le renouvellement de saisie de l’échange de clés.
- Clone unique : échange unique des clés des spécifications de chiffrement source vers l’instance cible.
- Clone récurrent : échangez les clés des spécifications de chiffrement source sélectionnées vers l’instance cible sur un clone récurrent défini.
<Source or Target> sys_id d’instance - Adhoc : saisissez le sys_id de l’instance source à laquelle demander les clés.
- Clone unique, clone récurrent : saisissez le sys_id de l’instance cible qui envoie les demandes.Conseil :Saisissez stats.do dans Application Navigator pour localiser l’ID d’instance.
<Source or Target> Hôte d’instance Entrez l’emplacement hôte ou le nom de l’instance source ou cible. Conseil :Par exemple , instanceA.service-now.comSpécifications de chiffrement Les clés de la spécification de chiffrement d’un module de chiffrement définissent les clés à cloner. Pour les demandes de clone uniques et récurrentes, votre instance crée automatiquement une politique d’accès au module d’échange de ressources . Vous n’avez pas besoin de configurer une politique manuellement. Remarque :Sélectionnez l’icône Référencer à l’aide de la liste (
pour parcourir les spécifications de chiffrement disponibles.Activer le renouvellement de saisie après l’importation de la clé Option permettant d’activer le renouvellement de saisie automatique. -
Sélectionnez Envoyer.
En cas de réussite, une confirmation s’affiche en haut du formulaire. La table Demandes est mise à jour avec une entrée Demande en attente dans l’instance source et dans l’instance cible. Ouvrez l’enregistrement de demande pour afficher l’état de la demande, le nombre de clés importées et le nombre total de clés sur l’hôte cible ou source.
-
La demande en attente est acceptée dans l’instance source pour terminer l’échange.
Au moment du clone, la politique d’accès au module sur l’instance source est appelée pour approuver automatiquement la demande et envoyer les clés à la cible nouvellement clonée.
Résultats
Après une tentative d’échange de clé, votre instance de non-production met à jour la protected.script.values.kmf.rekeyed propriété système. Cette propriété est visible dans la table Propriétés système [sys_properties] après une tentative d’échange de clé. Si le chiffrement à l’aide de la clé échangée réussit, cette propriété a la valeur true. Sinon, la propriété a la valeur false. Si la valeur est définie sur faux, l’instance tente de chiffrer à nouveau le lendemain.