Migrer les signatures pour utiliser un certificat client

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Exécutez une tâche de signature pour migrer vos signatures vers une racine de confiance (ROT) client.

    Avant de commencer

    Rôle requis : admin, security_admin et sn_kmf.cryptographic_manager

    La signature de code doit être activée sur vos instances protégées et de confiance. Vous pouvez vérifier que la propriété système com.snc.kmf.signature.validation.flag est définie sur vrai.

    Cette procédure fait partie d’une série de procédures permettant de modifier une racine de confiance (ROT) client sur vos instances. Pour une présentation de ce processus, reportez-vous à la section Modifier votre configuration de la racine de confiance.

    Procédure

    1. Connectez-vous à votre instance protégée.
    2. Accédez à la Tout > Définition du système > Travaux planifiés.
    3. Recherchez et ouvrez la tâche planifiée ROT : générer un ensemble de mises à jour d’enregistrements pour migrer les signatures à l’aide de la tâche planifiée de certificat client.
    4. En bas du formulaire, sélectionnez Exécuter maintenant.
    5. Accédez à la Tout > Sécurité de système > Tâches de Sécurité > Créer.
    6. À l’invite, sélectionnez Tâche de signature.
    7. Dans le formulaire Tâche de signature , renseignez les champs selon vos besoins.
      Champ Valeur
      Nom Créez un nom unique pour votre tâche.
      Type Sélectionnez Signer l’ensemble de mises à jour.
      Table Sélectionnez l’ensemble de mises à jour créé lors des étapes précédentes. Le nom de l’ensemble de mises à jour commence par change_root_of_trust_updateSet.
    8. Cliquez avec le bouton droit sur l’en-tête du formulaire et sélectionnez Enregistrer pour enregistrer cet enregistrement.
    9. Cliquez avec le bouton droit sur l’en-tête du formulaire et sélectionnez Exporter > XML (cet enregistrement) pour exporter cet enregistrement sous forme de fichier XML.
    10. Connectez-vous à votre instance de confiance.
    11. Accédez à la Tout > Sécurité de système > Tâches de Sécurité > Tout.
    12. Cliquez avec le bouton droit sur l’en-tête de liste, puis sélectionnez Importer XML.
    13. Dans le formulaire Importer XML , sélectionnez Choisir un fichier et sélectionnez le fichier XML que vous avez téléchargé aux étapes précédentes.
    14. Sélectionnez Charger.
    15. À partir de la liste, ouvrez la tâche de sécurité importée.
    16. Sélectionnez Exporter la tâche de signature de code vers la production.
      Cette action signe la tâche et la place dans un nouvel ensemble de mises à jour que vous pouvez importer dans votre instance protégée.
      Important :
      Après avoir signé la tâche, vous devez effectuer les étapes suivantes dans les 10 minutes. Si vous dépassez cette période, vous pouvez signer à nouveau la tâche en suivant ces étapes, ce qui crée un autre ensemble de mises à jour signé.
    17. Accédez à la Tout > Ensembles de mises à jour système > Ensembles de mises à jour locaux.
    18. Recherchez l’ensemble de mises à jour créé lors des étapes précédentes.
      Le nom commence par SIGN_UPDATE_SET_updateSet.
    19. Sélectionnez Exporter XML pour exporter votre ensemble de mises à jour sous forme de fichier XML.
    20. Connectez-vous à votre instance protégée.
    21. Accédez à la Tout > Ensembles de mises à jour système > Ensembles de mises à jour récupérés.
    22. En bas de la liste, sélectionnez Importer un ensemble de mises à jour à partir de XML.
    23. Dans le formulaire Importer XML , sélectionnez Choisir un fichier et sélectionnez le fichier XML que vous avez téléchargé aux étapes précédentes.
    24. Sélectionnez Charger.
    25. Accédez à la Tout > Ensembles de mises à jour système > Ensembles de mises à jour récupéréset ouvrez l’ensemble de mises à jour en commençant par SIGN_UPDATE_SET_updateSet.
    26. Sélectionnez Aperçu de l’ensemble de mises à jour.
    27. Une fois l’aperçu terminé, sélectionnez Valider l’ensemble de mises à jour.
    28. Accédez à la Tout > Sécurité de système > Tâches de Sécurité > Tout.
    29. Ouvrez la tâche de sécurité importée.
    30. Sélectionnez Démarrer pour exécuter la tâche de sécurité.

      Une fois la tâche de sécurité terminée, les informations relatives à l’état de la tâche s’affichent dans le champ Résumé .

      Lorsque la tâche est à l’état Terminé, toutes les signatures des enregistrements d’ensemble de mises à jour doivent utiliser le certificat fourni par le client comme certificat de vérification. Vous pouvez le vérifier sur la table Enregistrements de signature KMF [sn_kmf_record_signature].

    Que faire ensuite

    Pour poursuivre le processus de configuration de la racine de confiance, reportez-vous à la section Désactiver la racine de confiance ServiceNow.