Opérations de gestion des clés

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 14 minutes de lecture

    • Le sous-module Opérations de gestion des clés permet d’afficher et de gérer toutes les clés de chiffrement utilisées avec ServiceNow Chiffrement dans le cloud.

    États du cycle de vie des clés

    Il n’y a qu’une seule clé active dans le système à la fois. Lorsque vous sélectionnez une clé, vous accédez à l’activité de la clé sélectionnée, telle que les clés qui ont été tournées ou retirées et l’horodatage correspondant.

    L’état du cycle de vie des clés est mis à jour en fonction de l’opération de gestion des clés effectuée.

    Affiche les états du cycle de vie des clés mis à jour.

    Voir Faire pivoter une clé gérée par ServiceNow ou Rotation d’une clé gérée par le client pour plus de détails.

    Remarque :
    Le processus de rotation de clés peut prendre jusqu’à 20 minutes.

    Faire pivoter une clé gérée par ServiceNow

    Faites pivoter la clé gérée active Chiffrement dans le cloud ServiceNow .

    Avant de commencer

    Rôles requis : sn_kmf.admin ou sn_kmf.cryptographic_manager

    Important :
    Si vous utilisez des clés gérées par le client, reportez-vous à la section Rotation d’une clé gérée par le client.

    Procédure

    1. Accédez à la Tout > Gestion de clé de chiffrement dans le cloud > Opérations de gestion des clés.
      La Chiffrement dans le cloud liste des métadonnées clés se charge. Toutes les clés utilisées dans votre instance sont répertoriées. Une seule clé peut être active à la fois.

      Si vous accédez au module pour la Chiffrement dans le cloud première fois, les entrées de clés seront disponibles après une première rotation de clés. Une ServiceNow clé gérée est la clé par défaut dans le système.

    2. Sélectionnez la clé active dans la table.
      La table Définition de clé s’affiche avec des informations générales sur la clé que vous ServiceNow avez générée.
    3. Sélectionnez le bouton Faire pivoter la clé .
      Une notification s’affiche avec la possibilité de continuer la rotation de clés ou d’annuler l’opération.
    4. Sélectionnez OK pour faire pivoter la clé.
      Un message de confirmation s’affiche en haut de la page Définition de clé.
    5. Revenez à l’écran Opérations de gestion des clés pour actualiser la table Métadonnées des Chiffrement dans le cloud clés.
      Les entrées sont répertoriées pour la clé active actuelle et la clé en cours de génération pour tourner à la place de la clé active actuelle. Reportez-vous Cadre de travail de gestion des clés États clés du cycle de vie aux différents états disponibles.

      La clé active est répertoriée avec une version de clé de 0 et la clé générée a une version de 1.

    6. Ouvrez l’entrée de la clé d’origine pour afficher les transactions de gestion des clés.
      Pour plus d’informations, consultez Transactions de gestion des clés pour plus d’informations.
      La clé précédemment active, version 0, a été mise à jour vers l’état de cycle de vie de la clé Tourné et la nouvelle clé, version 1 , est Active.

    Préparer votre clé gérée par le client

    Suivez ces étapes pour préparer votre clé gérée par le client à charger sur votre instance.

    Avant de commencer

    Rôles requis : sn_kmf.admin ou sn_kmf.cryptographic_manager

    Pourquoi et quand exécuter cette tâche

    Pour une clé gérée par le client, vous pouvez utiliser n’importe quelle bibliothèque cryptographique ou HSM pour générer votre clé. Cette clé doit être une clé AES 256 bits et être enveloppée d’un certificat encapsulé Chiffrement dans le cloud avec un schéma de chiffrement RSAES_OAEP_SHA_256.
    Remarque :

    Si vous choisissez d’utiliser l’outil de chiffrement OpenSSL pour générer votre clé, la version OpenSSL doit être la version 1.1.1x ou ultérieure.

    Si vous créez et encapsulez votre clé gérée par le client à l’aide Windowsde , vous devez générer la clé encapsulée via des applications de prise en charge de l’interpréteur de commandes Bash telles que Git Bash.

    Procédure

    1. Générez une valeur aléatoire à utiliser comme clé symétrique AES-256 bits à l’aide d’OpenSSL.

      Par exemple, en utilisant openSSL, vous pouvez générer cette clé avec la commande openssl rand 32 .

      Pour la compatibilité, votre clé symétrique doit avoir les attributs suivants :

      Attribut Valeur
      Type de clé Clé symétrique basée sur un algorithme AES (Advanced Encryption Standard).
      Taille de la clé 256 bits (32 octets)
      Exigence d’encapsulation de clé
      • Algorithme de chiffrement RSA
      • Remplissage de chiffrement asymétrique optimal (OAEP)
      • Fonction de hachage SHA-256 (RSAES_OAEP_SHA_256)
      • Codé à l’aide de l’algorithme Base64
    2. Enregistrez la clé d’un fichier.
      Par exemple, la commande openSSL openssl rand 32 > plaintext_key.bin génère une clé de 32 octets et l’enregistre dans un fichier nommé plaintext_key.bin.
      Important :
      Enregistrez ce fichier en toute sécurité pour référence ultérieure. Cette clé est enveloppée avec la clé publique pour le téléchargement.
    3. Extrayez la clé publique du fichier de certificat d’encapsulation téléchargé à partir de votre instance : 
      openssl x509 -pubkey -noout -in wrapping_cert.pem > public_key.pem
      Remarque :
      Reportez-vous à pour plus d’informations sur le téléchargement du certificat d’emballage.
    4. Encapsulez la clé générée avec la clé publique téléchargée avec le certificat d’encapsulation à l’aide de l’algorithme RSAES_OAEP_SHA_256 : 
      cat plaintext_key.bin | openssl pkeyutl -encrypt -inkey public_key.pem -pubin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256 | openssl base64 -A -out wrapped_key.txt
      Un fichier spécifié dans cette commande contient une clé gérée par le client qui peut être fournie à SN pour le processus CMK.

    Basculer entre les clés ServiceNow et gérées par le client

    Basculez entre une clé gérée par le client ou une ServiceNow clé gérée à utiliser dans ServiceNow Chiffrement dans le cloud.

    Par défaut, votre instance est configurée pour utiliser ServiceNow des clés gérées et ServiceNow la génération de clés de chiffrement est active. Toutefois, les administrateurs peuvent choisir d’utiliser des clés gérées par le client. Ils peuvent également choisir de revenir aux ServiceNow clés gérées.

    Rotation d’une clé gérée par le client

    Faites pivoter votre clé gérée par le client vers votre instance après avoir enveloppé votre clé gérée par le client pour Chiffrement dans le cloud.

    Avant de commencer

    Rôles requis : sn_kmf.admin ou sn_kmf.cryptographic_manager

    Procédure

    1. Accédez à la Tout > Gestion de clé de chiffrement dans le cloud > Opérations de gestion des clés.
      La liste des métadonnées de Clé de chiffrement dans le cloud se charge. Toutes les clés qui ont été utilisées dans votre instance sont répertoriées.
    2. Dans la liste des métadonnées de clé de chiffrement dans le cloud, ouvrez l’enregistrement de votre clé active.
      Si vous avez plusieurs clés, sélectionnez celle dont l’état de cycle de vie de la clé est Actif. Il n’existe qu’une seule clé active sur votre instance.
    3. Dans l’enregistrement de définition de clé, sélectionnez le bouton Faire pivoter la clé .
    4. Dans la fenêtre Télécharger la clé gérée par le client , effectuez les étapes répertoriées.
      1. Sélectionnez Télécharger le certificat d’encapsulation.
        Le public_certificate.... Le zip se télécharge sur votre ordinateur local et est utilisé pour envelopper votre clé gérée par le client.
        Avertissement :
        Évitez les problèmes potentiels liés au certificat en téléchargeant le certificat d’encapsulation chaque fois que vous effectuez une rotation ou que vous basculez vers une clé gérée par le client.
      2. Sélectionnez Parcourir pour charger votre clé gérée par le client, puis localisez et sélectionnez votre clé de chiffrement enveloppée.
        Pour choisir un autre fichier, sélectionnez le fichier et sélectionnez Supprimer.
      3. Fermez la fenêtre Pièces jointes.
      4. Sélectionnez OK pour charger votre clé.
        Si la clé est au bon format, un message de confirmation apparaît, sinon un message d’erreur s’affiche. Le fichier de clé est joint à l’enregistrement de définition de clé.

        Dans la table Transactions de gestion des clés, les étapes de téléchargement du certificat et de chargement de la clé sont énumérées. Consultez la section Transactions de gestion des clés pour en savoir plus sur les étapes de demande.

    5. Accédez à la Tout > Gestion de clé de chiffrement dans le cloud > Opérations de gestion des clés pour afficher la liste des clés.
      Dans la liste des clés, vous pouvez voir un nouvel enregistrement pour votre clé gérée par le client. Cette nouvelle clé a une valeur Origin de customer_supplied et est à l’état Actif . Votre clé précédente est à l’état Pivoté .

    Basculer vers une clé gérée par le client

    Utilisez votre clé gérée par le client pour ServiceNow Chiffrement dans le cloud.

    Avant de commencer

    Rôle requis : sn_kmf.admin ou sn_kmf.cryptographic_manager

    Pour passer à une clé gérée par le client, vous devez disposer d’une clé gérée par le client enveloppée prête à être chargée dans le cadre de ces étapes. Pour plus d’informations sur la préparation de cette clé pour le téléchargement, reportez-vous à la section Préparer votre clé gérée par le client. Après avoir téléchargé votre clé, ce processus lancera une rotation de clés vers votre nouvelle clé.

    Procédure

    1. Accédez à la Tout > Gestion de clé de chiffrement dans le cloud > Opérations de gestion des clés.
    2. Dans la liste des métadonnées de clé de chiffrement dans le cloud, ouvrez l’enregistrement de votre clé active.
      Si vous avez plusieurs clés, sélectionnez celle dont l’état de cycle de vie de la clé est Actif. Il n’existe qu’une seule clé active sur votre instance.
    3. Dans la section Liens connexes du formulaire, sélectionnez le lien Basculer vers la clé gérée par le client .
    4. Dans la boîte de dialogue Basculer vers la clé gérée par le client , sélectionnez le bouton Télécharger la clé gérée .
    5. Dans la boîte de dialogue Télécharger la clé gérée par le client , procédez comme indiqué.
      1. Sélectionnez Télécharger le certificat d’encapsulation.
        Avertissement :
        Évitez les problèmes potentiels liés au certificat en téléchargeant le certificat d’encapsulation chaque fois que vous effectuez une rotation ou que vous basculez vers une clé gérée par le client.
      2. Sélectionnez Parcourir, puis suivez les instructions pour sélectionner et charger votre clé à partir de votre appareil.
      3. Sélectionnez Basculer vers la clé gérée par le client.
      Une demande est générée par l’instance pour passer à votre clé gérée par le client. Dans le formulaire actuel, vous pouvez voir que l’état du cycle de vie de la clé active à l’origine a changé sur Pivoté.
    6. Accédez à la Tout > Gestion de clé de chiffrement dans le cloud > Opérations de gestion des clés pour afficher la liste des clés.
      Dans la liste des clés, vous pouvez voir un nouvel enregistrement pour votre clé gérée par le client. Cette nouvelle clé a une valeur Origin de customer_supplied et est à l’état Actif .

    Résultats

    Votre instance utilise maintenant votre clé gérée par le client pour ServiceNow Chiffrement dans le cloud.

    Important :
    Assurez-vous qu’une copie de votre clé de chiffrement est toujours disponible dans un emplacement sécurisé pour les opérations de gestion des clés. Sans cette clé, votre instance peut être rendue inaccessible.

    Basculer vers une clé gérée par ServiceNow

    Revenir d’une clé gérée par le client à une clé gérée pour ServiceNow Chiffrement dans le cloud.

    Avant de commencer

    Rôle requis : sn_kmf.admin ou sn_kmf.cryptographic_manager

    Procédure

    1. Accédez à la Tout > Gestion de clé de chiffrement dans le cloud > Opérations de gestion des clés.
    2. Dans la liste des métadonnées de clé de chiffrement dans le cloud, ouvrez l’enregistrement de votre clé active.
      Si vous avez plusieurs clés, sélectionnez celle dont l’état de cycle de vie de la clé est Actif. Il n’existe qu’une seule clé active sur votre instance.
    3. Dans la section Liens connexes du formulaire, sélectionnez le lien Basculer vers la clé gérée par ServiceNow .
    4. Dans la boîte de dialogue Basculer vers la clé gérée par ServiceNow , sélectionnez le bouton Basculer vers la clé gérée par ServiceNow .
      Une demande est générée par l’instance pour passer à une ServiceNow clé gérée. Dans le formulaire actuel, vous pouvez voir que l’état du cycle de vie de la clé active à l’origine a changé sur Pivoté.
    5. Accédez à la Tout > Gestion de clé de chiffrement dans le cloud > Opérations de gestion des clés pour afficher la liste des clés.
      Dans la liste des clés, vous pouvez voir un nouvel enregistrement pour une ServiceNow clé gérée est. Cette nouvelle clé a une valeur d’origineServiceNow et est à l’état Actif .

    Planifier la rotation de clés

    Définissez un calendrier pour la rotation automatique de vos ServiceNow clés gérées. Ce processus met automatiquement hors service une clé de chiffrement et remplace l’ancienne clé par une nouvelle clé de chiffrement générée. Si vous utilisez une clé gérée par le client, ce calendrier peut vous rappeler de faire pivoter vos clés personnalisées manuellement.

    Avant de commencer

    Rôle requis : sn_kmf.admin

    Procédure

    1. Accédez à la Tout > Gestion de clé de chiffrement dans le cloud > Paramètres de rotations de clés planifiées.
    2. Cochez la case Activer la rotation de clés planifiée .
    3. Renseignez les champs restants en fonction de vos besoins professionnels.
      Tableau 1. Paramètres de rotations de clés planifiées
      Champ Description
      Nombre de mois entre les rotations de clés (maximum de 60 mois) Nombre de mois entre les rotations de clés. Cette valeur est 12 par défaut et peut avoir un maximum de 60 mois.
      Jour de la semaine pour effectuer la rotation de clés Jour de la semaine où la rotation de clés est effectuée.
      Heure de la journée à laquelle effectuer la rotation de clés Heure de la journée à laquelle la rotation de clés est effectuée.
      Date et heure de la prochaine rotation de clés Date et heure de la prochaine rotation de clés planifiée. Cette valeur n’est pas modifiable directement, et est automatiquement calculée en fonction de vos choix.
      Nombre de jour avant la rotation de clés pour envoyer un rappel (maximum de 15 jours) Nombre de jours avant la date de votre rotation de clés pendant laquelle votre instance envoie des notifications.
      Les notifications par e-mail sont envoyées à la liste suivante de vos administrateurs de sécurité approuvés Liste d’utilisateurs qui reçoivent des notifications pour la rotation de clés. L’administrateur système figure sur cette liste par défaut.
    4. Sélectionnez Soumettre.
      Après avoir sélectionné Soumettre, vous pouvez voir une notification en haut du formulaire. Les notifications confirment votre rotation de clés et votre calendrier de notification.
      Avertissement :

      Chaque rotation de clés planifiée a une signature unique, qui garantit l’intégrité d’une tâche et détecte toute modification non autorisée. La signature d’une tâche planifiée est unique sur chaque instance. Clonage d’une tâche de rotation de clé planifiée d’une instance source A vers une instance cible B, la tâche planifiée sur l’instance B fera échouer la validation de signature. Si cela se produit, vous pouvez recréer la signature en décochant puis en resélectionnant la case à cocher Activer la rotation de clés planifiée . Pour plus de détails sur ce problème, voir KB1247113.

    Retirer une clé gérée par le client

    Une fois que la fonctionnalité de retrait de clé gérée par le client est activée, une opération de retrait devient disponible dans la page Opérations de gestion des clés. Les opérations de retrait de clé et d’approbation du quorum peuvent également être gérées.

    Avant de commencer

    Rôles requis : sn_kmf.admin ou sn_kmf.cryptographic_manager

    Cette section s’applique uniquement si vous disposez d’une licence Chiffrement cloud Retirer et Réapprovisionner, un module complémentaire facultatif de Chiffrement dans le cloud.

    Procédure

    1. Accédez à la Tout > Gestion de clé de chiffrement dans le cloud > > Opérations de gestion des clés.
    2. Sélectionnez la clé gérée par le client active dans la table.
      La table Définition de clé s’affiche avec des informations générales sur votre clé client. Une fonction de retrait de clé est désormais disponible.
    3. Sélectionnez la clé de retrait pour déclencher le processus de retrait.
      Avertissement :

      Un message d’avertissement Retirer la clé s’affiche. Le retrait de la clé déclenche un arrêt de votre instance jusqu’à ce qu’une opération de restauration soit effectuée avec la clé retirée.

      DANGER :
      Vous ne pouvez effectuer une opération de restauration qu’avec la même clé qui a été retirée. Si vous souhaitez passer à une autre touche, vous devez le faire après avoir restauré la clé qui a été retirée.

      Si la clé gérée par le client retirée n’est pas restaurée dans le délai de ServiceNow conservation des sauvegardes (voir la SOP de sauvegarde et de restauration [procédure opérationnelle standard] pour plus de détails), les sauvegardes de la base de données de votre instance ne seront plus accessibles. Les données de sauvegarde perdues de cette manière ne sont pas récupérables.

    4. Sélectionnez OK pour retirer la clé.
      Sélectionnez Annuler en cas de doute sur la fonction de retrait des clés.
      Vous revenez à l’écran Définition de clé et un message de confirmation s’affiche.
    5. Actualisez la page Définition de clé pour afficher la demande de retrait en attente.
      Transaction de gestion des clés

      Si la politique de contrôle du quorum a été activée, le workflow d’approbation doit être terminé avec succès pour terminer le retrait de clé. Consultez Gérer le contrôle du quorum pour en savoir plus.

    Fournir à nouveau une clé gérée par le client

    Une fois l’opération de retrait de clé terminée, votre clé gérée par le client doit être réapprovisionnée dans votre instance.

    Avant de commencer

    Rôle requis : sn_kmf.admin ou sn_kmf.cryptographic_manager

    Remarque :
    Cette section s’applique uniquement si vous disposez d’une licence Chiffrement cloud Retirer et Réapprovisionner.

    Procédure

    1. Accéder à Now Support et accéder à Catalogue de services > Catalogue > Gestion de l'instance > Restauration d’instance : réapprovisionnement des clés gérées.
    2. Cliquez sur Demander.
    3. Dans la fenêtre Restauration d’instance - Réapprovisionner la clé gérée , sélectionnez votre instance dans la liste déroulante Sélectionner une instance .
    4. Téléchargez le certificat d’emballage en cliquant sur le texte du certificat d’emballage .
      Avertissement :
      Vous devez télécharger un nouveau certificat d’encapsulation chaque fois que vous faites pivoter ou chargez une clé gérée par le client.
    5. Préparez votre clé pour le chargement.
      Pour obtenir des détails sur ce processus, consultez Préparer votre clé gérée par le client.
    6. Dans la section Étape 4 , cliquez sur Parcourir et charger pour télécharger votre clé encapsulée à partir de votre appareil local.
      Une fois votre clé chargée, vous pouvez voir la clé sous Téléchargé le fichier ci-dessous avec succès. Si vous devez télécharger à nouveau la clé, cliquez sur Supprimer le fichier et chargez à nouveau votre clé comme décrit dans les étapes précédentes.
    7. Cliquez sur la touche de rotation pour terminer le réapprovisionnement.