鍵交換の設定

リリースバージョン: Zurich

更新日 2025年07月31日

所要時間：3分

キー管理フレームワーク (KMF) は、インスタンスの新規インストールまたはアップグレード中に、サポートされている暗号化モジュールの自動鍵交換要求を生成します。KMF はインスタンスのデータ暗号化キーをローカルに管理します。

始める前に

キーを持つ KMF 暗号化モジュールは、鍵交換を使用する前にターゲットとソースの両方のインスタンスで作成する必要があります。

必要なロール：sn_kmf.cryptographic_manager

このタスクについて

鍵交換要求はターゲットインスタンスから開始されます。

自動鍵交換は、プロパティがターゲットインスタンスにクローンされるインスタンスをクローンするときにデフォルトで有効になります。KMF とともに、システムプロパティを設定して、インスタンスのクローン中のキーの処理方法を管理します。

自動鍵交換のオフ：繰り返しクローン要求の glide_encryption.auto_key_exchange.enabled プロパティを false に設定します。
自動鍵交換要求の送信：このプロパティを true に設定します。

重要:

ベースシステムプロパティはデフォルトで true に設定されています。これは、インスタンスのクローン作成時に自動鍵交換がアクティブ化されることを意味します。鍵交換によるリキー暗号テキストまたは繰り返し鍵交換機能を利用する場合は、この値を false に設定する必要があります。詳細については「繰り返し鍵交換のチュートリアル」を参照してください。

手順

移動先すべて > キー管理 > リソース交換要求 > 新規.

フォームで、フィールドに入力します。

表 : 1. リソース交換要求フォームのフィールド
名前	説明
交換頻度	アドホック：キーターゲットインスタンスからソースインスタンスへ要求を送信します。ソースのインスタンスの sys_id とホスト情報を入力します。鍵交換のリキーではサポートされていません。ワンタイムクローン：ソース暗号化仕様からターゲットインスタンスへのキーの 1 回限りの交換。繰り返しクローン：定義された繰り返しクローンで、選択したソース暗号化仕様からターゲットインスタンスにキーを交換します。
<Source or Target> インスタンス sys_id	アドホック：キーを要求するソースインスタンスの sys_id を入力します。 1 回限りのクローン、繰り返しクローン：要求を送信するターゲットインスタンスの sys_id を入力します。ヒント: アプリケーションナビゲーターに「`stats.do`」と入力してインスタンス ID を見つけます。
<Source or Target> インスタンスホスト	ソースまたはターゲットインスタンスのホストの場所または名前を入力します。ヒント: 例：`instanceA.service-now.com`
暗号化仕様	暗号化モジュールの暗号化仕様のキーによって、クローンするキーが定義されます。1 回限りのクローン要求と繰り返しのクローン要求の両方で、インスタンスは自動的にリソース交換モジュールのアクセスポリシーを作成します。ポリシーを手動で設定する必要はありません。注: [リストから参照] アイコン () を選択して使用可能な暗号化仕様を参照します。
キーのインポート後にリキーを有効にする	自動リキーを有効にするオプション。

[送信] を選択します。
成功すると、フォームの上部に確認が表示されます。要求テーブルは、ソースインスタンスとターゲットインスタンスの両方において、処理待ちの要求のエントリで更新されます。要求レコードを開くと、要求のステータス、インポートされたキー数、およびターゲットまたはソースホストの合計キー数が表示されます。
処理待ちの要求がソースインスタンスで受け入れられ、交換が完了します。

クローン時に、ソースインスタンスのモジュールアクセスポリシーが呼び出され、要求が自動的に承認されて、新しくクローンされたターゲットにキーが送信されます。

タスクの結果

鍵交換が試行された後、非本番インスタンスで protected.script.values.kmf.rekeyed システムプロパティが更新されます。このプロパティは、鍵交換の試行後にシステムプロパティ [sys_properties] テーブルに表示されます。交換されたキーを使用した暗号化が成功した場合、このプロパティの値は true です。それ以外の場合、プロパティの値は false です。値が false の場合、インスタンスは翌日に暗号化を再試行します。