Mise à niveau de Chiffrement Edge

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 8 minutes de lecture

    • Les mises à niveau d’instance et les mises à niveau de serveur proxy nécessitent une attention particulière dans un Chiffrement Edge environnement.

    Mises à niveau d'instance

    Les mises à niveau d’instance dans un environnement Chiffrement Edge nécessitent de la prudence pour s’assurer que les contrôles Edge fonctionnent correctement après la mise à niveau de l’instance.

    Lors d’une mise à niveau d’instance, vous ne devez pas ajouter, modifier ou supprimer les éléments suivants :
    • Configurations de Chiffrement Edge
    • Règles de Chiffrement Edge
    • Schémas de tokenisation Edge Encryption
    • Travaux planifiés Chiffrement Edge
    • Configurations de la clé de chiffrement Edge
    • Mises à niveau planifiées de Chiffrement Edge
    • Configurations IP de la liste de refus de Chiffrement Edge

    Toute tâche planifiée en cours d’exécution pendant la mise à niveau de l’instance ne se terminera pas. Pour terminer la tâche interrompue, réexécutez la tâche une fois l’instance mise à niveau. Lorsque vous replanifiez la tâche, le traitement qui s’est produit avant la mise à niveau de l’instance n’est pas perdu et la tâche continue de traiter uniquement les données qui n’ont pas encore été traitées.

    Mises à niveau des serveurs proxy

    Planifiez une mise à niveau de proxy pour permettre à l’instance de mettre à niveau le Chiffrement Edge serveur proxy ou mettez à niveau manuellement le serveur proxy à tout moment.
    Avertissement :
    Pour une mise à niveau sous Windows, vous pouvez rencontrer des problèmes de verrouillage de fichiers et la mise à niveau peut échouer. Pour que la mise à niveau réussisse, aucun fichier ne doit être ouvert dans le répertoire d’installation. De plus, il ne doit pas y avoir de shell existant dans le répertoire d’installation. En particulier, si vous démarrez le proxy à partir de la ligne de commande (via bin\edgeencryption.bat install/start) alors qu’il se trouve dans le répertoire d’installation, vous devez fermer ce shell ou le déplacer hors du répertoire d’installation par la suite. Aucun fichier sous le répertoire d’installation ne doit être ouvert par un éditeur ou par une autre application.

    Bibliothèques tierces

    Les bibliothèques tierces, telles que Gemalto, sont perdues lors des mises à niveau des serveurs d’instance et des serveurs proxy si elles sont conservées dans le même répertoire. Vous pouvez effectuer ce qui suit pour empêcher la perte de bibliothèques tierces lors des mises à niveau :
    1. Ajoutez manuellement la propriété suivante à edgeencryption.properties :

      edgeencryption.ekm.provider.classname = com.snc.edgeencryption.encryption.CloudEdgeNaeKeyProvider

    2. Ajoutez la propriété d’emplacement de la edgeencryption.thirdparty.vendor.library.path bibliothèque fournisseur et définissez-la sur /chemin/vers/jars.

      Par exemple :

      edgeencryption.thirdparty.vendor.library.path = /app/servicenow/libs

    3. Copiez les fichiers JAR SafeNet dans ce chemin d’accès.

    Une fois que vous avez installé les bibliothèques tierces en dehors de l’installation Chiffrement Edge , elles ne sont plus perdues lors des mises à niveau.

    Mises à niveau planifiées

    Important :
    Pendant ServiceNow les mises à niveau d’instance, mettez également à niveau la version de votre serveur proxy pour qu’elle s’aligne sur la version de votre instance et réduise les risques de problèmes de compatibilité.
    Planifiez une mise à niveau pour permettre à l’instance de mettre à niveau le serveur proxy à l’heure planifiée. Cette fonctionnalité est disponible par défaut après la mise à niveau. Une mise à niveau planifiée inclut les événements suivants :
    1. Le serveur proxy vérifie auprès de l’instance s’il existe une nouvelle version disponible pour la mise à niveau. Les nouvelles versions sont généralement disponibles lorsque l’instance est mise à niveau.
    2. L’administrateur reçoit une notification lors de la connexion lorsqu’une nouvelle version du serveur proxy est disponible.
    3. L’administrateur peut planifier une mise à niveau du serveur proxy Chiffrement Edge pour chaque serveur proxy.
      Remarque :
      Seuls les utilisateurs disposant du rôle security_admin peuvent créer un calendrier de mise à niveau via le serveur proxy.
    4. Une fois la mise à niveau planifiée, le serveur proxy effectue automatiquement la mise à niveau à l’heure planifiée. Pendant la mise à niveau, le serveur proxy n’est hors ligne que pendant une courte période.
      Remarque :
      Étant donné que le serveur proxy redémarre pendant la mise à niveau, il est hors ligne pendant une courte période. La durée est déterminée par votre environnement et le temps nécessaire pour arrêter et redémarrer le service proxy.
    5. Lors de la mise à niveau planifiée, un nouveau répertoire proxy est créé et vos fichiers de configuration sont copiés dans le nouveau répertoire. Les nouvelles propriétés sont écrites dans votre fichier de propriétés existant. Les fichiers ou répertoires suivants dans votre ancien répertoire proxy sont copiés dans le nouveau répertoire proxy.
      • Répertoire /conf
      • Répertoire /keys
      • Répertoire /keystore
      • fichier java/jre/lib/security/cacerts
      Par conséquent, vos clés, magasins de clés, paramètres et certificats sont conservés.
      Remarque :
      Seuls les fichiers ci-dessus sont copiés dans le nouveau répertoire proxy. Les autres fichiers personnalisés dans le répertoire du serveur proxy ne sont pas conservés lors d’une mise à niveau planifiée. Le fichier journal de mise à niveau se trouve dans le répertoire proxy d’origine dans le dossier suivant : <original-proxy-directory>/tmp/upgrade-wrapper/bin.

    Prérequis pour la mise à niveau planifiée

    Avant de planifier une mise à niveau pour un proxy Chiffrement Edge, vérifiez les points suivants :
    1. La variable d’environnement JAVA_HOME pointe vers une installation Java sur l’ordinateur qui se trouve en dehors de la structure de répertoires du proxy Chiffrement Edge.
    2. La variable d’environnement JAVA_HOME pointe vers une installation Java à la version 1.8_u144 ou supérieure.
    3. Le -Djava.io.tmpdir paramètre dans le fichier wrapper.conf du proxy Chiffrement Edge pointe vers un répertoire qui se trouve en DEHORS de la structure de répertoire du proxy Chiffrement Edge et le proxy dispose d’autorisations de lecture/écriture/exécution sur le répertoire. Si vous le souhaitez, vous pouvez commenter entièrement le paramètre afin que Java utilise son emplacement tmp par défaut.

    Mises à niveau manuelles

    Au lieu de créer un calendrier de mise à niveau, vous pouvez mettre à niveau manuellement chaque serveur proxy via la ligne de commande. Voir Mettre à niveau manuellement un serveur proxy Chiffrement Edge s’exécutant sous Linux ou Mettre à niveau manuellement un serveur proxy Chiffrement Edge s’exécutant sous Windows.

    État de la version du proxy

    Vous pouvez facilement identifier si un serveur proxy est obsolète en accédant à Configuration de Chiffrement Edge > Proxys > Tout. L’état de votre version de proxy est indiqué dans la colonne Version de proxy par les couleurs suivantes :

    Vert
    Votre serveur proxy est à jour.
    Jaune
    Votre serveur proxy n’est pas à jour et une mise à niveau est nécessaire.
    Orange
    Nous n’avons pas pu procéder à la mise à niveau. Votre serveur proxy revient à l’ancienne version pour s’assurer qu’il n’y a pas de temps d’arrêt.

    Résoudre un échec de la mise à niveau d’un proxy planifié

    Lorsqu’une mise à niveau de proxy planifiée échoue, le serveur proxy revient à la version depuis laquelle vous effectuez la mise à niveau. Toutes les données, clés et fichiers de configuration d’origine sont conservés. Ce processus peut prendre plusieurs minutes. Contactez-nous Service et assistance client pour garantir la réussite de la mise à niveau.

    Pour déterminer la raison de l’échec, vous pouvez vérifier la raison de l’échec dans le calendrier de mise à niveau. En outre, le répertoire d’installation de la mise à niveau ayant échoué est conservé afin que les fichiers journaux soient disponibles pour le dépannage.
    Remarque :
    Avant de supprimer des répertoires proxy supplémentaires, vérifiez toujours quel répertoire est à jour en examinant les fichiers journaux. Si les fichiers journaux présentent une activité récente, le proxy est peut-être connecté à votre instance.

    Si la mise à niveau d’un proxy programmée échoue à plusieurs reprises, vous pouvez mettre à niveau manuellement votre serveur proxy. Consultez Mettre à niveau manuellement un serveur proxy Chiffrement Edge s’exécutant sous Linux et Mettre à niveau manuellement un serveur proxy Chiffrement Edge s’exécutant sous Windows.

    Configuration minimale requise pour Java

    L’ordinateur hôte sur lequel l’installation ou l’exécution du Chiffrement Edge serveur proxy doit gérer une version prise en charge de Java. Les versions prises en charge actuelles sont Java 11.0.6 ou ultérieure dans la série de versions 11.x
    Remarque :
    Java 8 n’est plus pris en charge à partir de cette Utah version. Mettez à niveau votre environnement avec le Chiffrement Edge proxy vers Java 11 avant d’essayer d’installer la Utah version du Chiffrement Edge proxy.

    Si vous utilisez un chiffrement AES 256 bits avec Java 8 mise à jour 141 (8u141) ou une version antérieure, vous devez installer les fichiers de stratégie de juridiction Java Cryptography Extension (JCE) en les copiant dans le répertoire de base Java système de chaque Chiffrement Edge hôte de serveur proxy. Ajoutez ces fichiers au dossier <Java-home-directory>/jre/lib/security avant d’effectuer une mise à niveau planifiée ou manuelle. Pour installer les fichiers de stratégie de chiffrement AES 256 bits, reportez-vous à la section Configurer la clé de chiffrement AES 256 bits.

    Environnements mixtes de versions proxy

    Bien qu’il ne soit pas recommandé d’utiliser un environnement exécutant d’anciennes versions du serveur proxy avec des versions à jour du serveur proxy, il est possible de le prendre en charge si tous les serveurs proxy appartiennent à la même famille de versions que votre instance. Par exemple, si vous disposez d’une instance sur la Xanadu version, votre environnement prend en charge les serveurs proxy à partir de n’importe quel Xanadu correctif ou correctif logiciel. Cependant, les limitations suivantes s’appliquent.

    • Si un serveur proxy prend en charge des fonctionnalités qu’un autre proxy ne prend pas en charge, vous constaterez un comportement incohérent, selon le serveur proxy utilisé.
    • Si un serveur proxy n’est pas à jour, il se peut qu’il n’inclue pas les améliorations de sécurité récentes.

    Si un serveur proxy d’une version précédente est enregistré avec une version plus récente de l’instance, vous recevrez régulièrement des notifications indiquant que le serveur proxy est obsolète. Pour garantir un environnement optimal et sécurisé, ServiceNow il est recommandé de toujours mettre à niveau votre serveur proxy vers la version la plus récente du logiciel pris en charge par votre instance.