Ändern Sie Ihre Root of Trust-Konfiguration

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Vertrauen Sie Ihren eigenen Zertifikaten, anstatt sich auf ServiceNow Build-Zertifikate (Standard) zu verlassen, indem Sie Ihren Root of Trust (ROT) verwenden. ServiceNow Komponenten wie Skripteinbindungen, Business Rules usw. werden zur Build-Zeit mit einem ServiceNow Build-Zeitschlüssel signiert (Verifizierungszertifikat ist das ServiceNow Build-Zertifikat).

    Ändern der Vertrauensbasis

    Um den Root of Trust für diese Datensatzsignaturen zu ändern, müssen Sie dem Change des Root of Trust-Prozesses folgen.
    • Generieren und migrieren Sie mithilfe des bereitgestellten Zertifikats einen neuen Satz von Signaturen für alle bereitgestellten Komponenten.
    • Deaktivieren Sie die Eigenschaft „Root of Trust“ mithilfe einer geplanten Aufgabe.
    Weitere Informationen zu diesen Schritten finden Sie in Migrieren Sie Signaturen, um ein Kundenzertifikat zu verwenden und Deaktivieren Sie ServiceNow Root of Trust.

    Auswirkung auf den Signaturgenerierungs- und -verifizierungsprozess

    Standardmäßig wird den Build-Zertifikaten der Codesignatur während des Signaturüberprüfungsprozesses vertraut. Nach dieser Änderung akzeptiert Ihre Instanz nur Signaturen von Ihrem eigenen Codesignaturzertifikat.

    Vor und nach dem Ändern der ROT-Konfiguration
    ROT-Eigenschaft auf „falsch“ festgelegt (Standard) ROT-Eigenschaft auf „true“ festgelegt
    • Bei der Überprüfung wird Signaturen mit Build-Zertifikaten vertraut.
    • Wenn Sie beim Signieren keine Schlüssel angeben, wird der Instanzsignaturschlüssel als Sicherungsschlüssel verwendet.
    • Der Signatur-REST-Endpunkt api/sn_kmf/signature/certificates gibt ServiceNow Code Signing-Build-Zertifikate zusammen mit anderen in der Instanz vorhandenen Zertifikaten zurück.
    • Bei der Überprüfung wird Signaturen mit Build-Zertifikaten nicht vertraut.
    • Wenn Sie beim Signieren keine Schlüssel angeben, wird das Signieren nicht ausgeführt.
    • Der Signatur-REST-Endpunkt api/sn_kmf/signature/certificates schließt ServiceNow Build-Zertifikate aus (San Diego, Vancouver PKI, W PKI).

    Auswirkung auf Ihren MID Server

    Wenn die ROT-Eigenschaft auf „false“ festgelegt ist
    Wenn Sie die ROT-Eigenschaft auf dem Standardwert (falsch) belassen, hat dies keine Auswirkungen auf Ihren MID Server.
    Wenn Codesignatur aktiviert und die ROT-Eigenschaft auf „true“ festgelegt ist
    • Die API isTrusted() gibt für Signaturen mit einem Build-Zertifikat „ false “ zurück.
    • Die API isTrusted() gibt für Signaturen mit Ihrem Zertifikat „ true “ zurück.
    • Der REST-API-Aufruf für Zertifikate schließt Build-Zertifikate aus.
    • Möglicherweise werden in den Protokollen MID Server-Probleme angezeigt, z. B. Meldungen zu fehlgeschlagenen Signaturvalidierungen.