キー管理操作

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む15読むのに数分

    • キー管理操作サブモジュールは、で使用される ServiceNow クラウド暗号化すべての暗号化キーを表示および管理するためのアクセスを提供します。

    キーのライフサイクルステータス

    システムには常に 1 つのアクティブなキーしか存在しません。キーを選択すると、ローテーションされたキーまたは取り消されたキーや対応するタイムスタンプなど、選択したキーのアクティビティにアクセスできます。

    キーのライフサイクルステータスは、実行されたキー管理操作に従って更新されます。

    更新されたキーのライフサイクルステータスが表示されます。

    詳細は「ServiceNow 管理キーのローテーション」または「顧客管理キーのローテーション」を参照してください。

    注:
    キーロテーションプロセスは完了までに 20 分かかる場合があります。

    ServiceNow 管理キーのローテーション

    アクティブなクラウド暗号化 ServiceNow管理キーをローテーションします。

    始める前に

    必要なロール:kmf_admin、kmf_cryptomanager

    重要:
    カスタマー マネージド キーを使用している場合は、「」を参照してください 顧客管理キーのローテーション

    手順

    1. 移動先 すべて > クラウド暗号化キー管理 > キー管理操作.
      クラウド暗号化 のキーメタデータのリストがロードされます。インスタンスで使用されているすべてのキーがリストされます。一度に 1 つのキーのみをアクティブにすることができます。

      クラウド暗号化モジュールに初めてアクセスすると、最初のキーローテーションが実行された後にキーエントリが使用可能になります。ServiceNow 管理キーがシステムのデフォルトです。

    2. テーブルからアクティブなキーを選択します。
      [キー定義] テーブルに、ServiceNow で生成されたキーに関する一般的な情報が表示されます。
    3. [キーのローテーション] ボタンを選択します。
      キーのローテーションを続行するか操作をキャンセルするかを選択できる通知が表示されます。
    4. [OK] を選択してキーをローテーションします。
      [キー定義] ページの上部に確認メッセージが表示されます。
    5. [キー管理操作] 画面に戻り、クラウド暗号化キーメタデータテーブルを更新します。
      現在のアクティブなキーと、現在のアクティブなキーの代わりにローテーションするために生成されているキーのエントリが表示されます。利用可能なさまざまなステータスについては、「キー管理フレームワークのキーライフサイクルステータス」を参照してください。

      アクティブなキーはキーバージョン 0 でリストされ、生成されたキーのバージョンは 1 です。

    6. 元のキーのエントリを開くとキー管理トランザクションが表示されます。
      詳細については、「キー管理トランザクション」を参照してください。
      前にアクティブだったキーのバージョン 0 のキーのライフサイクルステータスが [ローテーション済み] にアップデートされ、新しいキーのバージョン 1[有効] になります。

    顧客管理キーの準備

    次の手順に従って、インスタンスにアップロードする顧客管理キーを準備します。

    始める前に

    必要なロール:sn_kmf.cryptographic_manager、sn_kmf.admin

    このタスクについて

    カスタマー マネージド キーの場合は、任意の暗号化ライブラリまたは HSM を使用してキーを生成できます。このキーは AES 256 ビットのキーであり、RSAES_OAEP_SHA_256 暗号化スキーマを使用した Cloud Encryption ラッピング証明書でラップされている必要があります。
    注:

    OpenSSL 暗号化ツールを使用してキーを生成する場合、OpenSSL バージョンはバージョン 1.1.1x 以降である必要があります。

    を使用してカスタマー マネージド キー Windowsを作成してラップする場合は、Git Bash などの Bash シェル サポート アプリケーションを使用してラップされたキーを生成する必要があります。

    手順

    1. OpenSSL を使用して、AES-256 ビット対称キーとして使用するランダム値を生成します。

      互換性のために、対称キーには次の属性が必要です。

      属性
      キータイプ Advanced Encryption Standard (AES) アルゴリズムベースの対称キー。
      鍵サイズ 256 ビット (32 バイト)
      キーラッピング要件
      • RSA 暗号化アルゴリズム
      • 最適な非対称暗号化パディング (OAEP)
      • SHA-256 ハッシュ関数 (RSAES_OAEP_SHA_256)
      • Base64 アルゴリズムを使用したエンコード
    2. openssl rand 32 > plaintext_key.bin」のようなファイルにキーを保存します。
      重要:
      今後の参照のためにこのファイルを安全に保存してください。このキーは、アップロード用の公開鍵でラップされます。
    3. インスタンスからダウンロードしたラッピング証明書ファイルから公開キーを抽出します。 
      openssl x509 -pubkey -noout -in wrapping_cert.pem > public_key.pem
      注:
      ラッピング証明書をダウンロードするための情報を参照してください。
    4. RSAES_OAEP_SHA_256アルゴリズムを使用して、ラッピング証明書と一緒にダウンロードした公開鍵で生成されたキーをラップします。 
      cat plaintext_key.bin | openssl pkeyutl -encrypt -inkey public_key.pem -pubin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256 | openssl base64 -A -out wrapped_key.txt
      このコマンドで指定されたファイルには、CMK プロセスの SN に提供できるラップされた顧客管理キーが含まれています。

    ServiceNow と顧客管理キーの切り替え

    で使用するServiceNow クラウド暗号化カスタマー マネージド キーとServiceNowマネージド キーを切り替えます。

    デフォルトでは、インスタンスは ServiceNow 管理キーを使用するように構成されていて、ServiceNow による暗号化キーの生成がアクティブになっています。ただし、管理者はカスタマー マネージド キーを使用することを選択できます。ServiceNow 管理キーに戻すことも選択できます。

    顧客管理キーのローテーション

    クラウド暗号化顧客管理キーをラップした後、顧客管理キーをインスタンスにローテーションします。

    始める前に

    必要なロール:kmf_admin、kmf_cryptomanager

    手順

    1. 移動先 すべて > クラウド暗号化キー管理 > キー管理操作.
      [Cloud Encryption のキーメタデータ (Cloud Encryption Key Metadata)] リストがロードされます。インスタンスで使用されているすべてのキーがリストされます。
    2. [Cloud Encryption のキーメタデータ (Cloud Encryption Key Metadata)] リストで、アクティブなキーのレコードを開きます。
      キーが複数ある場合は、[キーのライフサイクルステータス][有効] であるキーを選択します。インスタンスでは、有効なキーは 1 つのみです。
    3. キー定義レコードで、[キーのローテーション] ボタンを選択します。
    4. [顧客管理キーをアップロード] ウィンドウで、リストされている手順を実行します。
      1. [ ラッピング証明書のダウンロード] を選択します。
        public_certificate....zip がローカルマシンにダウンロードされ、顧客管理キーをラップするために使用されます。
        警告:
        顧客管理キーのローテーションや顧客管理キーへの切り替えのたびにラッピング証明書をダウンロードすることで、証明書に関連する潜在的な問題を回避します。
      2. [参照] を選択して顧客管理キーをアップロードし、ラップされた暗号化キーを検索して選択します。
        別のファイルを選択するには、ファイルを選択して [削除] を選択します。
      3. [添付ファイル] ウィンドウを閉じます。
      4. [ OK] を選択してキーをアップロードします。
        キーが適切な形式である場合は確認メッセージが表示され、それ以外の場合はエラーメッセージが表示されます。キーファイルはキー定義レコードに添付されています。

        [キー管理トランザクション] テーブルに、証明書のダウンロードとキーのアップロードの手順が表示されます。要求ステップの詳細については、「キー管理トランザクション」を参照してください。

    5. 移動先 すべて > クラウド暗号化キー管理 > キー管理操作 をクリックしてキーのリストを表示します。
      キーのリストに、顧客管理キーの新しいレコードが表示されます。この新しいキーの [作成元] の値は [customer_supplied] で、ステータスは [有効] です。前のキーが [ローテーション済み ] ステータスになっています。

    顧客管理キーに切り替える

    ServiceNow クラウド暗号化 の顧客管理キーを使用します。

    始める前に

    必要なロール:kmf_admin または kmf_cryptomanager

    顧客管理キーに切り替えるには、この手順の一環として、ラップされた顧客管理キーをアップロードする準備ができている必要があります。このキーをアップロードする準備の詳細については、「顧客管理キーの準備」を参照してください。キーのアップロード後、このプロセスによって新しいキーのキーローテーションが開始されます。

    手順

    1. 移動先 すべて > クラウド暗号化キー管理 > キー管理操作.
    2. [Cloud Encryption のキーメタデータ (Cloud Encryption Key Metadata)] リストで、アクティブなキーのレコードを開きます。
      キーが複数ある場合は、[キーのライフサイクルステータス][有効] であるキーを選択します。インスタンスでは、有効なキーは 1 つのみです。
    3. フォームの [関連リンク ] セクションで、[ 顧客管理キーに切り替え ] リンクを選択します。
    4. [ 顧客管理キーに切り替え ] ダイアログ ボックスで、[ 管理キーをアップロード] ボタンを選択します。
    5. [顧客管理キーをアップロード] ダイアログボックスで、リストされている手順を実行します。
      1. [ ラッピング証明書のダウンロード] を選択します。
        警告:
        顧客管理キーのローテーションや顧客管理キーへの切り替えのたびにラッピング証明書をダウンロードすることで、証明書に関連する潜在的な問題を回避します。
      2. [参照] を選択し、プロンプトに従ってデバイスからキーを選択してアップロードします。
      3. [ 顧客管理キーに切り替え] を選択します。
      顧客管理キーに切り替える要求がインスタンスによって生成されます。現在のフォームで、元々アクティブであったキーの [キーライフサイクルステータス][ローテーション済み]に変わっていることがわかります。
    6. 移動先 すべて > クラウド暗号化キー管理 > キー管理操作 をクリックしてキーのリストを表示します。
      キーのリストに、顧客管理キーの新しいレコードが表示されます。この新しいキーの [作成元] の値は [customer_supplied] で、ステータスは [有効] です。

    タスクの結果

    インスタンスが ServiceNow クラウド暗号化 の顧客管理キーを使用するようになりました。

    重要:
    暗号化キーのコピーは、常に安全な場所でキー管理操作に使用できるように確保します。このキーがないと、インスタンスにアクセスできなくなるおそれがあります。

    ServiceNow 管理キーに切り替える

    顧客管理キーから ServiceNow クラウド暗号化 管理キーに戻します。

    始める前に

    必要なロール:kmf_admin または kmf_cryptomanager

    手順

    1. 移動先 すべて > クラウド暗号化キー管理 > キー管理操作.
    2. [Cloud Encryption のキーメタデータ (Cloud Encryption Key Metadata)] リストで、アクティブなキーのレコードを開きます。
      キーが複数ある場合は、[キーのライフサイクルステータス][有効] であるキーを選択します。インスタンスでは、有効なキーは 1 つのみです。
    3. フォームの [関連リンク ] セクションで、[ ServiceNow 管理キーに切り替え ] リンクを選択します。
    4. [ServiceNow 管理キーに切り替え] ダイアログボックスで、[ServiceNow 管理キーに切り替え] ボタンを選択します。
      ServiceNow 管理キーに切り替える要求がインスタンスによって生成されます。現在のフォームで、元々アクティブであったキーの [キーライフサイクルステータス][ローテーション済み]に変わっていることがわかります。
    5. 移動先 すべて > クラウド暗号化キー管理 > キー管理操作 をクリックしてキーのリストを表示します。
      キーのリストに、ServiceNow 管理キーの新しいレコードが表示されます。この新しいキーの [作成元] の値は [ServiceNow] で、ステータスは [有効] です。

    キーローテーションをスケジュール

    管理キーの自動 ServiceNow ローテーションのスケジュールを設定します。このプロセスでは、暗号化キーが自動で廃止され、古いキーが新しく生成された暗号化キーに置き換えられます。顧客管理キーを使用している場合は、このスケジュールにより、カスタムキーを手動でローテーションするように促すリマインダーを提供できます。

    始める前に

    必要なロール:admin

    手順

    1. 移動先 すべて > クラウド暗号化キー管理 > スケジュールされたキーローテーション設定.
    2. [ スケジュールされたキーローテーションを有効にする ] チェックボックスをオンにします。
    3. ビジネスニーズに基づいて、残りのフィールドに入力します。
      表 : 1. スケジュールされたキーローテーション設定
      フィールド 説明
      キーローテーション間の月数 (最大 60 か月) キーローテーション間の月数。この値はデフォルトで 12 で、最大 60 か月にすることができます。
      キーローテーションを実行する曜日 キーローテーションを実行する曜日。
      キーローテーションを実行する時刻 キーローテーションを実行する時刻。
      次回のキーローテーションの日時 次回キーローテーション実行予定の日時。この値は直接編集できず、選択に基づいて自動的に計算されます。
      リマインダーを送信するキーローテーションまでの日数 (最大 15 日) インスタンスが通知を送信するキーローテーションの実行日までの日数。
      メール通知は、次に示す承認されたセキュリティ管理者のリストに送信されます キーローテーションの通知を受信するユーザーのリスト。デフォルトでは、 システム管理者 がこのリストに含まれています。
    4. [送信] を選択します。
      [送信] を選択すると、フォームの上部に通知が表示されます。通知では、キーのローテーションと通知スケジュールを確認します。
      警告:

      スケジュールされた各キーローテーションには一意の署名があるため、ジョブの完全性が保証され、不正な変更が検出されます。ジョブスケジュールの署名は、インスタンスごとに一意です。キーローテーションのジョブスケジュールをソースインスタンス A からターゲットインスタンス B にクローンすると、インスタンス B のジョブスケジュールは署名検証に失敗します。これが発生した場合は、[ スケジュールされたキーローテーションを有効にする ] チェックボックスをオフにしてから再度オンにすることで、署名を再作成できます。この問題の詳細については、「 KB1247113」を参照してください。

    顧客管理キーを取り消す

    顧客管理キーの取り消し機能が有効になると、[キー管理操作] ページで取り消し操作を使用できるようになります。キーの取り消しとクォーラムの承認操作も管理できます。

    始める前に

    必要なロール:kmf_admin、kmf_cryptomanager

    このセクションは、クラウド暗号化 へのオプションのアドオンである Cloud Encryption Withdraw and Resupply がライセンスされている場合にのみ適用されます。

    手順

    1. 移動先 すべて > クラウド暗号化キー管理 > > キー管理操作.
    2. テーブルからアクティブな顧客管理キーを選択します。
      [キー定義] テーブルに、顧客キーに関する一般的な情報が表示されます。キーの取り消し機能が利用可能になります。
    3. [キーを取り消す] を選択して、取り消しプロセスをトリガーします。
      警告:

      キーの取り消しの警告メッセージが表示されます。キーを取り消すと、インスタンスのシャットダウンがトリガーされ、取り消されたキーを使用して復元操作が実行されるまでそのままになります。

      危険:
      取り消された同じキーでのみ復元操作を実行できます。別のキーにローテーションする場合は、取り消されたキーを復元した後に行う必要があります。

      取り消された顧客管理キーが、ServiceNow がバックアップを保持する期間内に復元されない場合 (詳細については、バックアップおよび復元 SOP [標準運用手順] を参照)、インスタンスデータベースのバックアップにアクセスできなくなります。この方法で失われたバックアップデータは復旧できません。

    4. [OK] を選択してキーを取り消します。
      キーの取り消し機能に疑問がある場合は、[キャンセル] を選択します。
      [キー定義] 画面に戻り、確認メッセージが表示されます。
    5. [キー定義] ページを更新して、保留中の取り消し要求を表示します。
      キー管理トランザクション

      クォーラムコントロールポリシーが有効になっている場合、キーの取り消しを完了するには、承認ワークフローを正常に完了する必要があります。詳細については、「クォーラムコントロールを管理する」を参照してください。

    顧客管理キーの再供給

    キーの取り消し操作が完了したら、顧客管理キーをインスタンスに再供給する必要があります。

    始める前に

    必要なロール:kmf_admin、kmf_cryptomanager

    注:
    このセクションは、Cloud Encryption Withdraw and Resupply がライセンスされている場合にのみ適用されます。

    手順

    1. 移動先 Now Support と移動先 サービスカタログ > カタログ > インスタンス管理 > インスタンスの復元:管理キーを補充.
    2. [要求] をクリックします。
    3. [インスタンスの復元 - 管理キーの再供給 (Instance Restore - Resupply Managed Key)] ウィンドウで、[インスタンスを選択 (Select Instance)] ドロップダウンでインスタンスを選択します。
    4. ラッピング証明書のテキストをクリックして、ラッピング証明書をダウンロードします。
      警告:
      顧客管理キーをローテーションまたはアップロードするたびに、新しいラッピング証明書をダウンロードする必要があります。
    5. アップロードするキーを準備します。
      このプロセスの詳細については、「顧客管理キーの準備」を参照してください。
    6. [ステップ 4] セクションで、[参照してアップロード (Browse and upload)] をクリックして、ラップされたキーをローカルデバイスからアップロードします。
      キーがアップロードされると、[以下のファイルは正常にアップロードされました (Uploaded below file successfully)] の下にキーが表示されます。キーを再アップロードする必要がある場合は、[ファイルを削除] をクリックし、前の手順で説明したようにキーを再度アップロードします。
    7. [キーのローテーション] をクリックして、再供給を完了します。