コード署名を有効にする

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:4分

    • 信頼できる非本番インスタンスでコード署名をオンにして、本番インスタンスにリンクする信頼できるインスタンスを特定します。

    始める前に

    必要なロール:security_admin、および either sn_kmf.crypto_manager または sn_kmf.admin

    顧客アドミニストレーターは、ServiceNow プラグインポータルからコード署名 [com.glide.code_signing_enterprise] プラグインにアクセスしてインストールできます。コード署名のユースケースの詳細については、「 コード署名の概要」を参照してください。

    このタスクについて

    署名済み更新セットを含むコード署名ジョブを使用して、コード署名機能をオンまたはオフにします。この機能を使用するための他の方法はありません。このプロセスには以下が含まれます。
    • 信頼できるインスタンスで 2 つのコード署名ジョブを作成します。1 つはコード署名をオンにし、もう 1 つはコード署名をオフにします。
      • [オンにする] スケジュール済みジョブは、署名済みコードの MID サーバー検証プロセスを開始します。
      • [オフにする] スケジュール済みジョブは、署名済みコードの MID サーバー検証を停止します。

      デフォルトでは、コード署名はすべての MID サーバーに適用されます。ただし、コード署名を MID サーバーの特定のサブセットに制限する必要がある場合は、ECC ファイアウォールを使用してこれを実現できます。

      注:
      コード署名をオフにすると、システムプロパティが false にマークされますが、コード署名の信頼できる友人リストは引き続き使用できます。
    • [コード署名プロパティをオンにする (Turn on Code Signing Property)] ジョブを更新セットに配置します。
    • ジョブを本番環境に移行します。
    • 署名が信頼できるインスタンスからのものであることが検証された場合は、[コード署名プロパティをオンにする (Turn on Code Signing Property)] ジョブを使用します。

    手順

    1. 信頼できるインスタンスで、次の場所に移動します: すべて > システム定義 > スケジュール済みジョブ.
    2. 名前フィールドで「*Turn」を検索します。
    3. [コード署名プロパティをオンにする (Turn on Code Signing Property)] を選択します。
      信頼の輪 (Circle of Trust) のコード署名機能をオンまたはオフにするジョブが表示されます。
      [スケジュール済みスクリプト実行] フォームがロードされます。このフォームには [コード署名] プロパティを有効にするための情報が含まれます。ジョブは、ジョブとコード署名プロセスを介した検証済みの署名を含む更新セットを作成します。
      [スケジュール済みスクリプト実行] フォームがロードされます。
    4. スクリプトをすぐに実行するには、証明書に署名し、更新セットを作成して、[署名済みジョブを本番環境にエクスポートします] を選択します。
      指定されたスケジュールで実行するようにスクリプトを構成することもできます。
    5. 移動先 システムアップデートセット > ローカル更新セット.
    6. 各コード署名プロパティの更新セットを開き、[XML にエクスポート (Export to XML)] を選択します。
    7. 本番インスタンスにログインします。
    8. 移動先 システムアップデートセット > 取得済み更新セット.
    9. [XML から更新セットをインポート] ボタンを選択し、コード署名プロパティ更新セットを選択します。
    10. [ファイルを選択] を選択し、更新セットをアップロードしてコミットします。
    11. に移動して、スケジュール済みジョブのリストに戻ります すべて > システム定義 > スケジュール済みジョブ.
    12. [コード署名プロパティをオンにする (Turn on Code Signing Property)] ジョブレコードを開きます。
    13. フォームの上部にある [前提条件チェック] ボタンを選択します。
      [前提条件チェック] ボタン
    14. 前提条件チェックが完了したら、[今すぐ実行] ボタンを選択します。
      [コード署名プロパティをオンにする (Turn on Code Signing Property)] スケジュール済みジョブは、署名済みコードの MID サーバー検証プロセスを開始します。
    15. ナビゲーターで、「sn_kmf_record_signature.list」と入力して、[KMF 署名レコード] リストを開き、[KMF 署名の目的][信頼のサークル (Circle of Trust)] になっているレコードをフィルタリングします。
      信頼関係によってジョブが移動され、ジョブが使用されると署名検証プロセスが実行されます。ジョブ、署名、および証明書がすべて 信頼の輪 (Circle of Trust) の一部である場合、信頼の輪 (Circle of Trust) によるコード署名をオンにすることができます。
    16. ナビゲーターで、「sys_properties.list」と入力して、システムプロパティリストを開きます。
    17. com_snc_kmf_signature.validation.flag を検索し、値が true に設定されていることを確認します。
    18. 新しいプロパティ com_snc_kmf_signature.validation.certificate がテーブルに表示されていることを確認します。
      図 : 1. システムプロパティ
      システムのプロパティで利用可能なコード署名証明書。

      本番環境で信頼の輪 (Circle of Trust)ジョブを使用して、信頼関係を確認します。コードに署名しようとする直接ジョブは本番環境では実行できません。設定オプションについては、「コード署名の構成」を参照してください。