Root of Trust 構成の変更

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:2分

    • Root of Trust (ROT) を使用するように変更して、ServiceNow ビルド証明書 (デフォルト) に依存せず、独自の証明書を信頼して使用します。スクリプトインクルード、ビジネス ルールなどの ServiceNowコンポーネントは、ビルド時に ServiceNow ビルド時キーを使用して署名されます (検証証明書は ServiceNow ビルド証明書です)。

    Root of Trust の変更

    これらのレコードの署名の Root of Trust を変更するには、Root of Trust の変更プロセスに従う必要があります。
    • 提供された証明書を使用して、提供されたすべてのコンポーネントの新しい署名セットを生成して移行します。
    • スケジュール済みジョブを使用して Root of Trust プロパティを無効にします。
    これらのステップの詳細については、「署名を移行して顧客証明書を使用する」および「ServiceNow Root of Trust の無効化」を参照してください。

    署名の生成と検証プロセスへの影響

    デフォルトでは、コード署名ビルド証明書は署名検証プロセス中に信頼されます。この変更を行うと、インスタンスは独自のコード署名証明書からの署名のみを受け入れます。

    ROT 構成の変更前と変更後
    false に設定された ROT プロパティ (デフォルト) true に設定された ROT プロパティ
    • 検証時には、ビルド証明書を含む署名が信頼されます。
    • 署名時にキーを指定しない場合、インスタンス署名キーがバックアップキーとして使用されます。
    • 署名 REST エンドポイント api/sn_kmf/signature/certificates は、インスタンスに存在する他の証明書とともに ServiceNow コード署名ビルド証明書を返します。
    • 検証時には、ビルド証明書を含む署名が信頼されません。
    • 署名時にキーを指定しないと、署名は実行されません。
    • 署名 REST エンドポイント api/sn_kmf/signature/certificates では、ServiceNow ビルド証明書 (San Diego、Vancouver PKI、W PKI) が除外されます。

    MID サーバーへの影響

    ROT プロパティが false に設定されている場合
    ROT プロパティをデフォルト値 (false) のままにすることを選択した場合、MID サーバーに影響はありません。
    コード署名が有効で、ROT プロパティが true に設定されている場合
    • isTrusted() API は、ビルド証明書を含む署名に対して false を返します。
    • isTrusted() API は、証明書を含む署名に対して true を返します。
    • 証明書の REST API 呼び出しでは、ビルド証明書が除外されます。
    • signature validation failed メッセージなど、MID サーバーの問題がログに表示される場合があります。