Configurer l’échange de clés
Key Management Framework (KMF) génère des demandes automatiques d’échange de clés pour les modules de chiffrement pris en charge lors de la nouvelle installation ou de la mise à niveau de l’instance. Gère la clé de chiffrement des données localement pour l’instance.
Avant de commencer
Un module de chiffrement avec une clé doit être créé dans les instances cible et source avant d’utiliser Key Exchange.
Rôle requis : sn_kmf.cryptographic_manager
Pourquoi et quand exécuter cette tâche
Key Exchange Les demandes sont lancées à partir de l’instance cible.
L’échange de clés automatique est actif par défaut lors du clonage d’une instance, où la propriété est clonée vers l’instance cible. En plus de KMF, configurez les propriétés système pour gérer la façon dont les clés sont traitées pendant un clone d’instance :
- Désactiver l’échange automatique de clés : Définissez la propriété sur false pour les glide_encryption.auto_key_exchange.enabled demandes de clone récurrentes.
- Envoyer des demandes d’échange de clé automatique : définissez cette propriété sur vrai.
Procédure
-
Renseignez les champs du formulaire.
Tableau 1. Resource Exchange Champs du formulaire de demande Nom Description Fréquence d'échange - Adhoc : envoie des demandes de l’instance cible clé à l’instance source. Entrez le sys_id d’instance et les informations d’hôte pour la source. Non pris en charge avec le renouvellement de clé de l’échange de clés.
- Clone unique : échange unique des clés des spécifications de chiffrement source vers l’instance cible.
- Clone récurrent : échangez les clés des spécifications de chiffrement source sélectionnées vers l’instance cible sur un clone récurrent défini.
<Source or Target> sys_id d’instance - Adhoc : saisissez le sys_id de l’instance source à laquelle vous souhaitez demander les clés.
- Clone unique, clone récurrent : saisissez le sys_id de l’instance cible qui envoie les demandes.Conseil :Saisissez stats.do dans le navigateur d’application pour localiser l’ID d’instance.
<Source or Target> Hôte d’instance Entrez l’emplacement d’hôte ou le nom de l’instance source ou cible. Conseil :Par exemple , instanceA.service-now.comSpécifications de chiffrement Les clés de la spécification de chiffrement dans un module de chiffrement définissent les clés à cloner. Pour les demandes de clone ponctuelles et récurrentes, votre instance crée automatiquement une politique d’accès au module d’échange de ressources . Vous n’avez pas besoin de configurer une stratégie manuellement. Remarque :Sélectionnez l’icône Rechercher à l’aide d’une liste (icône
pour parcourir les spécifications de chiffrement disponibles.Activer le renouvellement de saisie après l’importation de la clé Option permettant d’activer le renouvellement de saisie automatique. -
Sélectionnez Soumettre.
En cas de réussite, une confirmation s’affiche en haut du formulaire. La table Demandes est mise à jour avec une entrée Demande en attente dans l’instance source et dans l’instance cible. Ouvrez l’enregistrement de la demande pour afficher l’état de la demande, le nombre de clés importées et le nombre total de clés sur l’hôte cible ou source.
-
La demande en attente est acceptée dans l’instance source pour terminer l’échange.
Au moment du clonage, la politique d’accès au module sur l’instance source est appelée pour approuver automatiquement la demande et envoyer les clés à la cible nouvellement clonée.
Résultats
Après une tentative d’échange de clé, votre instance de non-production met à jour la protected.script.values.kmf.rekeyed propriété système. Cette propriété est visible dans la table Propriétés système [sys_properties] après une tentative d’échange de clé. Si le chiffrement à l’aide de la clé échangée réussit, cette propriété a la valeur vrai. Dans le cas contraire, la propriété a la valeur false. Si la valeur est définie sur faux, l’instance tente à nouveau de chiffrer le lendemain.