Sécurisez vos rubriques Kafka en générant un certificat signé par l’instance ServiceNow® .
Avant de commencer
La configuration nécessite une Service de messagerie Hermes coordination avec votre administrateur réseau et votre administrateur Kafka. Collaborez avec votre administrateur réseau pour obtenir les certificats de sécurité requis et ouvrir les ports requis. Travaillez avec votre administrateur Kafka pour vous assurer que votre environnement Kafka est correctement configuré et que vos applications peuvent s’y connecter à l’aide Service de messagerie Hermes du protocole Kafka standard.
Assurez-vous que la configuration suivante est en place :
- Le Service de messagerie Hermes est activé. Consultez Activating the Hermes Messaging Service.
- Le module d’extension Key Management Framework (com.glide.kmf.global) est activé.
- La table Certificats [sys_kmf_certificate] contient un certificat d’autorité ServiceNow de certification racine de l’instance.
- L’instance n’est pas configurée avec une URL personnalisée. Les URL personnalisées ne sont pas prises en charge avec le générateur de certificats PKI d’instance.
Rôle requis : hermes_admin, sn_kmf.cryptographic_manager ou admin
Pour en savoir plus sur l’affectation des rôles KMF, reportez-vous à la section Rôles installés avec Key Management Framework.
Procédure
-
Accédez à la .
- Facultatif :
Contrôlez l’accès aux rubriques en configurant les listes de contrôle d’accès (ACL) au niveau de l’espace de noms ou de la rubrique.
| Option | Description |
|---|
| Appliquer des ACL aux espaces de noms |
- Sélectionnez Configurer les ACL.
- Dans la boîte de dialogue ACL de rubriques, sélectionnez Espaces de noms.
- Entrez un espace de noms que vous souhaitez configurer.
- Définissez le niveau d’autorisation en sélectionnant Lecture seule ou Lecture/Écriture.
- Sélectionnez Ajouter.
|
| Appliquer des ACL à des rubriques définies |
- Sélectionnez Configurer les ACL.
- Dans la boîte de dialogue ACL de rubriques, sélectionnez Rubriques définies.
- Entrez une rubrique existante que vous souhaitez configurer.
- Définissez le niveau d’autorisation en sélectionnant Lecture seule ou Lecture/Écriture.
- Sélectionnez Ajouter.
|
Le titulaire du certificat bénéficie d’un accès en lecture ou en lecture/écriture aux rubriques de l’espace de noms ou de la rubrique existante que vous avez sélectionnée.
-
Configurez la sécurité pour le Service de messagerie Hermes.
-
Revenez à la page Générateur de certificats PKI de l’instance.
-
Saisissez un mot de passe de magasin de clé dans le champ Mot de passe du certificat .
-
Sélectionnez Générer.
Le système génère un certificat signé par l’instance dans la table Certificats [sys_kmf_certificate], crée un magasin de clés et crée un magasin de confiance.
Si l’accès restreint pour l’appelant n’est pas autorisé pour le générateur de certificats IPKI, une erreur d’accès entre périmètres s’affiche. Contactez Service client et assistance pour obtenir de l’aide afin d’autoriser l’accès restreint pour l’appelant. Pour résoudre ce problème, Service client et assistance peut faire référence à source_scope=76f9d51369115083f4ea77aab1677cc0 dans la table Privilèges d’accès restreint pour l’appelant [sys_restricted_caller_access].
-
Enregistrez une copie du magasin de clés en sélectionnant Télécharger le magasin de clés.
-
Enregistrez une copie du magasin de clés de confiance en sélectionnant Télécharger le magasin de clés de confiance.
-
Copiez les fichiers du magasin de clés et du magasin de clés de confiance sur chaque client producteur et consommateur qui se connectera au Service de messagerie Hermes.
Résultats
Vous pouvez maintenant créer une connexion sécurisée au Service de messagerie Hermes.
Remarque : Vous devez utiliser le magasin de clés que vous avez généré à l’aide du générateur de certificats PKI d’instance pour vous connecter à Hermes. Les magasins de clés générés personnalisés qui ne sont pas créés conformément à la ServiceNow documentation ne sont pas pris en charge.