Hermes メッセージングサービス への安全な接続の設定

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:4分

    • ServiceNow® インスタンス署名証明書を生成して Kafka トピックを保護します。

    始める前に

    Hermes メッセージングサービス を設定するには、ネットワーク管理者および Kafka 管理者との調整が必要です。ネットワークアドミニストレーターと協力して必要なセキュリティ証明書を取得し、必要なポートを開きます。Kafka アドミニストレーターと協力して、Kafka 環境が正しく構成され、アプリケーションが標準の Kafka プロトコルを使用して Hermes メッセージングサービス に接続できることを確認します。

    次のセットアップが行われていることを確認します。

    • Hermes メッセージングサービス がアクティブ化されている。「Hermes メッセージングサービス のアクティブ化」を参照してください。
    • キー管理フレームワークプラグイン (com.glide.kmf.global) がアクティブ化されている。
    • 証明書 [sys_kmf_certificate] テーブルに、ServiceNow インスタンスのルート CA 証明書が含まれている。
    • インスタンスがカスタム URL で構成されていない。カスタム URL は、インスタンス PKI 証明書ジェネレーターではサポートされていません。

    必要なロール:hermes_admin、sn_kmf.cryptographic_manager または admin

    KMF ロールのアサインの詳細については、「Roles installed with Key Management Framework」を参照してください。

    手順

    1. 移動先 すべて > 証明書ジェネレーター > インスタンス PKI 証明書ジェネレーター.
    2. オプション: 名前空間またはトピックレベルでアクセス制御リスト (ACL) を設定して、トピックへのアクセスを制御します。
      オプション説明
      名前空間に ACL を適用する
      1. [ACL を構成 (Configure ACLs)] を選択します。
      2. [トピック ACL] ダイアログボックスで、[名前空間] を選択します。
      3. 構成する名前空間を入力します。
      4. [読み取り専用] または [読み取り/書き込み] を選択して、アクセス許可レベルを設定します。
      5. [追加] を選択します。
      定義されたトピックに ACL を適用する
      1. [ACL を構成 (Configure ACLs)] を選択します。
      2. [トピック ACL] ダイアログボックスで、[定義されたトピック] を選択します。
      3. 設定する既存のトピックを入力します。
      4. [読み取り専用] または [読み取り/書き込み] を選択して、アクセス許可レベルを設定します。
      5. [追加] を選択します。
      証明書の対象者には、名前空間内のトピックまたは選択した既存のトピックへの読み取りアクセス権または読み取り/書き込みアクセス権が付与されます。
    3. Hermes メッセージングサービス のセキュリティを設定します。
      1. [インスタンス PKI 証明書ジェネレーター] ページに戻ります。
      2. [証明書パスワード] フィールドにキーストアパスワードを入力します。
      3. [生成] を選択します。
      システムは、証明書 [sys_kmf_certificate] テーブルにインスタンス署名付き証明書を生成し、キーストアを作成して、トラストストアを作成します。

      IPKI 証明書ジェネレーターで制限付きの申請者アクセスが許可されていない場合は、クロススコープアクセスエラーが表示されます。制限付き発信者アクセスの許可については、 カスタマーサービス & サポート にお問い合わせください。この問題を解決するには、 カスタマーサービス & サポート 制限付き発信者アクセス特権 [sys_restricted_caller_access] テーブルで source_scope=76f9d51369115083f4ea77aab1677cc0 を参照できます。

    4. [キーストアをダウンロード] を選択して、キーストアのコピーを保存します。
    5. [トラストストアをダウンロード] を選択して、トラストストアのコピーを保存します。
    6. キーストアファイルとトラストストアファイルを、Hermes メッセージングサービス に接続する各プロデューサーとコンシューマークライアントにコピーします。

    タスクの結果

    これで、Hermes メッセージングサービス への安全な接続を作成できます。

    注:
    Hermes に接続するには、インスタンス PKI 証明書ジェネレーターを使用して生成したキーストアを使用する必要があります。ServiceNow のドキュメントに従って作成されていないカスタム生成のキーストアは、サポートされていません。

    次のタスク