Mise à niveau de Chiffrement Edge

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 8 minutes de lecture

    • Les mises à niveau d’instance et les mises à niveau de serveur proxy nécessitent une attention particulière dans un Chiffrement Edge environnement.

    Mises à niveau d'instance

    Les mises à niveau d’instance dans un environnement Chiffrement Edge nécessitent de la prudence pour s’assurer que les contrôles Edge fonctionnent correctement après la mise à niveau de l’instance.

    Lors d’une mise à niveau d’instance, vous ne devez pas ajouter, modifier ou supprimer les éléments suivants :
    • Configurations de Chiffrement Edge
    • Règles de Chiffrement Edge
    • Schémas de création de jetons de Chiffrement Edge
    • Travaux planifiés de Chiffrement Edge
    • Configurations des clés de chiffrement Edge
    • Mises à niveau planifiées de Chiffrement Edge
    • Configurations des adresses IP de la liste de refus Chiffrement Edge

    Les tâches planifiées en cours d’exécution pendant la mise à niveau de l’instance ne seront pas terminées. Pour terminer la tâche interrompue, réexécutez la tâche une fois que l’instance est mise à niveau. Lorsque vous replanifiez la tâche, le traitement qui s’est produit avant la mise à niveau de l’instance n’est pas perdu et la tâche continue de traiter uniquement les données qui n’ont pas encore été traitées.

    Mises à niveau du serveur proxy

    Planifiez une mise à niveau du proxy pour permettre à l’instance de mettre à niveau le Chiffrement Edge serveur proxy ou mettez à niveau manuellement le serveur proxy à tout moment.
    Avertissement :
    Pour une mise à niveau sous Windows, vous pouvez rencontrer des problèmes de verrouillage des fichiers et la mise à niveau peut échouer. Pour que la mise à niveau réussisse, vous ne devez pas avoir de fichiers ouverts dans le répertoire d’installation. De plus, il ne doit pas y avoir d’interpréteur de commandes existant dans le répertoire d’installation. En particulier, si vous démarrez le proxy à partir de la ligne de commande (via bin\edgeencryption.bat install/start) alors que vous êtes dans le répertoire d’installation, vous devez fermer ce shell ou le déplacer hors du répertoire d’installation par la suite. Aucun fichier du répertoire d’installation ne doit être ouvert par un éditeur ou par toute autre application.

    Bibliothèques tierces

    Les bibliothèques tierces, telles que Gemalto, sont perdues lors des mises à niveau d’instance et de serveur proxy si elles sont conservées dans le même répertoire. Vous pouvez effectuer les opérations suivantes pour éviter la perte de bibliothèques tierces lors des mises à niveau :
    1. Ajoutez manuellement la propriété suivante à edgeencryption.properties :

      edgeencryption.ekm.provider.classname = com.snc.edgeencryption.encryption.CloudEdgeNaeKeyProvider

    2. Ajoutez la propriété d’emplacement de bibliothèque du edgeencryption.thirdparty.vendor.library.path fournisseur et définissez-la sur /path/to/jars.

      Par exemple :

      edgeencryption.thirdparty.vendor.library.path = /app/servicenow/libs

    3. Copiez les fichiers jar SafeNet dans ce chemin.

    Une fois que vous avez installé les bibliothèques tierces en dehors de l’installation Chiffrement Edge , elles ne sont plus perdues lors des mises à niveau.

    Mises à niveau planifiées

    Important :
    Lors ServiceNow des mises à niveau d’instance, mettez également à niveau la version de votre serveur proxy pour l’aligner sur votre version d’instance et réduire les risques de problèmes de compatibilité.
    Planifiez une mise à niveau pour permettre à l’instance de mettre à niveau le serveur proxy à l’heure planifiée. Cette fonctionnalité est disponible par défaut après la mise à niveau. Une mise à niveau planifiée inclut les événements suivants :
    1. Le serveur proxy vérifie auprès de l’instance s’il existe une nouvelle version disponible pour la mise à niveau. Les nouvelles versions deviennent généralement disponibles lorsque l’instance est mise à niveau.
    2. L’administrateur reçoit une notification lors de la connexion lorsqu’une nouvelle version du serveur proxy est disponible.
    3. L’administrateur peut planifier une mise à niveau du serveur proxy Chiffrement Edge pour chaque serveur proxy.
      Remarque :
      Seuls les utilisateurs disposant du rôle security_admin peuvent créer un calendrier de mise à niveau via le serveur proxy.
    4. Une fois la mise à niveau planifiée, le serveur proxy se met automatiquement à niveau à l’heure planifiée. Pendant la mise à niveau, le serveur proxy n’est hors ligne que pendant une courte période.
      Remarque :
      Étant donné que le serveur proxy redémarre pendant la mise à niveau, il est hors ligne pendant une courte période. La durée est déterminée par votre environnement et le temps nécessaire pour arrêter et redémarrer le service proxy.
    5. Pendant la mise à niveau planifiée, un nouveau répertoire proxy est créé et vos fichiers de configuration sont copiés dans le nouveau répertoire. Les nouvelles propriétés sont écrites dans votre fichier de propriétés existant. Les fichiers ou répertoires suivants dans votre ancien répertoire proxy sont copiés dans le nouveau répertoire proxy.
      • /conf
      • Répertoire /keys
      • /keystore directory
      • fichier java/jre/lib/security/cacerts
      Par conséquent, vos clés, vos magasins de clés, vos paramètres et vos certificats sont préservés.
      Remarque :
      Seuls les fichiers ci-dessus sont copiés dans le nouveau répertoire proxy. Les autres fichiers personnalisés dans le répertoire du serveur proxy ne sont pas conservés lors d’une mise à niveau planifiée. Le fichier journal de mise à niveau se trouve dans le répertoire proxy d’origine dans le dossier suivant : <original-proxy-directory>/tmp/upgrade-wrapper/bin.

    Prérequis pour la mise à niveau planifiée

    Avant de planifier une mise à niveau pour un proxy Chiffrement Edge, vérifiez ce qui suit :
    1. La variable d’environnement JAVA_HOME pointe vers une installation Java sur l’ordinateur qui se trouve en dehors de la structure de répertoire du proxy Chiffrement Edge.
    2. La variable d’environnement JAVA_HOME pointe vers une installation Java qui se trouve à la version 1.8_u144 ou supérieure.
    3. Le -Djava.io.tmpdir paramètre du fichier wrapper.conf du proxy Chiffrement Edge pointe vers un répertoire qui est EN DEHORS de la structure de répertoire du proxy Chiffrement Edge, et le proxy a des autorisations de lecture/d’écriture/d’exécution sur le répertoire. En option, vous pouvez commenter entièrement le paramètre afin que Java utilise son emplacement tmp par défaut.

    Mises à niveau manuelles

    Au lieu de créer un calendrier de mise à niveau, vous pouvez mettre à niveau manuellement chaque serveur proxy via la ligne de commande. Voir Mettre à niveau manuellement un serveur proxy Chiffrement Edge exécuté sous Linux ou Mettre à niveau manuellement un serveur proxy Chiffrement Edge exécuté sous Windows.

    État de la version du proxy

    Vous pouvez facilement déterminer si un serveur proxy est obsolète en accédant à Configuration de Chiffrement Edge > Proxys > Tout. L’état de la version de votre proxy est indiqué dans la colonne Version du proxy par les couleurs suivantes :

    Vert
    Votre serveur proxy est à jour.
    Jaune
    Votre serveur proxy est obsolète et une mise à niveau est nécessaire.
    Orange
    Nous n’avons pas pu procéder à la mise à niveau. Votre serveur proxy revient à l’ancienne version pour s’assurer qu’il n’y a pas de temps d’arrêt.

    Résoudre un problème d’échec de mise à niveau de proxy planifiée

    Lorsqu’une mise à niveau de proxy planifiée échoue, le serveur proxy revient à la version à partir de laquelle vous effectuez la mise à niveau. Toutes les données, clés et fichiers de configuration d’origine sont conservés. Ce processus peut prendre plusieurs minutes. Contacter Service et assistance client pour s’assurer que la mise à niveau a réussi.

    Pour déterminer le motif de la défaillance, vous pouvez vérifier le motif de la défaillance dans le calendrier de mise à niveau. En outre, le répertoire d’installation de la mise à niveau ayant échoué est conservé afin que les fichiers journaux soient disponibles pour le dépannage.
    Remarque :
    Avant de supprimer des répertoires proxy supplémentaires, vérifiez toujours quel répertoire est en cours en examinant les fichiers journaux. Si les fichiers journaux ont une activité récente, le proxy est peut-être connecté à votre instance.

    Si une mise à niveau de proxy programmée échoue à plusieurs reprises, vous pouvez mettre à niveau manuellement votre serveur proxy. Consultez Mettre à niveau manuellement un serveur proxy Chiffrement Edge exécuté sous Linux et Mettre à niveau manuellement un serveur proxy Chiffrement Edge exécuté sous Windows.

    Configuration minimale requise pour Java

    La machine hôte installant ou exécutant le Chiffrement Edge serveur proxy doit maintenir une version prise en charge de Java. Les versions prises en charge actuelles sont Java 17.0.3 ou version ultérieure dans la série de versions 17.x.
    Remarque :
    Java 11 n’est plus pris en charge à partir de la version Yokohama. Mettez à niveau votre environnement avec le Chiffrement Edge proxy vers Java 17 avant d’essayer d’installer Yokohama ou des versions ultérieures Chiffrement Edge du proxy.

    Si vous utilisez le chiffrement AES 256 bits avec Java 8 update 141 (8u141) ou une version antérieure, vous devez installer les fichiers de stratégie de juridiction Java Cryptography Extension (JCE) en les copiant dans le répertoire de base Java système de chaque Chiffrement Edge hôte du serveur proxy. Ajoutez ces fichiers au dossier <Java-home-directory>/jre/lib/security avant d’effectuer une mise à niveau planifiée ou manuelle. Pour installer les fichiers de règles de chiffrement AES 256 bits, reportez-vous à la section Configurer la clé de chiffrement AES 256 bits.

    Environnements mixtes de versions proxy

    Bien qu’il ne soit pas recommandé d’utiliser un environnement exécutant d’anciennes versions du serveur proxy avec des versions à jour du serveur proxy, il est pris en charge si tous les serveurs proxy appartiennent à la même famille de versions que votre instance. Par exemple, si vous avez une instance sur la Yokohama version, votre environnement prend en charge les serveurs proxy à partir de n’importe quel Yokohama correctif ou correctif chaud. Toutefois, les limitations suivantes s’appliquent.

    • Si un serveur proxy prend en charge des fonctionnalités qu’un autre proxy ne prend pas en charge, vous constaterez un comportement incohérent, selon le serveur proxy utilisé.
    • Si un serveur proxy est obsolète, il peut ne pas inclure les améliorations de sécurité récentes.

    Si un serveur proxy d’une version précédente est enregistré avec une version plus récente de l’instance, vous recevrez régulièrement des notifications indiquant que le serveur proxy est obsolète. Pour garantir un environnement optimal et sécurisé, ServiceNow recommande de toujours mettre à niveau votre serveur proxy vers la version la plus récente du logiciel pris en charge par votre instance.