키 관리 운영

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기11분

    • 키 관리 운영 서브모듈은 와 함께 ServiceNow 클라우드 암호화사용되는 모든 암호화 키를 보고 관리할 수 있는 액세스 권한을 제공합니다.

    주요 수명주기 상태

    시스템에는 지정된 시간에 하나의 활성 키만 있습니다. 키를 선택할 때 선택한 키에 대한 활동(예: 회전 또는 철회된 키 및 해당 타임스탬프)에 액세스합니다.

    수행된 키 관리 작업에 따라 키 수명주기 상태가 업데이트됩니다.

    업데이트된 키 수명주기 상태를 표시합니다.

    자세한 내용은 또는 고객 관리 키 교대 문서를 참조하십시오ServiceNow 관리 키 교체.

    주:
    키 회전 프로세스를 완료하는 데 최대 20분이 걸릴 수 있습니다.

    ServiceNow 관리 키 교체

    활성 클라우드 암호화 ServiceNow 관리 키를 회전합니다.

    시작하기 전에

    필요한 역할: sn_kmf.admin 또는 sn_kmf.cryptographic_manager

    중요사항:
    고객 관리형 키를 사용하는 경우 다음을 참조하세요 고객 관리 키 교대.

    프로시저

    1. 다음으로 이동 모두 > 클라우드 암호화 키 관리 > 키 관리 운영.
      클라우드 암호화 키 메타데이터 목록이 로드됩니다. 인스턴스에 사용된 모든 키가 나열됩니다. 지정된 시간에 하나의 키만 활성화할 수 있습니다.

      모듈에 처음 액세스하는 클라우드 암호화 경우 초기 키 회전이 수행된 후 키 항목을 사용할 수 있습니다. ServiceNow 관리되는 키는 시스템의 기본값입니다.

    2. 테이블에서 활성 키를 선택합니다.
      생성된 키에 대한 ServiceNow 일반 정보가 키 정의 테이블에 표시됩니다.
    3. 키 회전 버튼을 선택합니다.
      키 회전을 계속하거나 작업을 취소하는 옵션이 포함된 알림이 표시됩니다.
    4. 확인을 선택하여 키를 회전합니다.
      키 정의 페이지 상단에 확인 메시지가 표시됩니다.
    5. 키 관리 작업 화면으로 돌아가 키 메타데이터 테이블을 새로 고치십시오 클라우드 암호화 .
      현재 활성 키와 현재 활성 키 대신 회전하기 위해 생성되는 키에 대한 항목이 나열됩니다. 사용 가능한 다른 상태를 확인합니다 핵심 관리 프레임워크 주요 수명주기 상태 .

      활성 키는 키 버전이 0 으로 나열되고 생성된 키의 버전은 1입니다.

    6. 키 관리 트랜잭션을 보려면 원래 키에 대한 항목을 엽니다.
      자세한 내용은 문서를 참조하십시오 키 관리 트랜잭션 .
      이전에 활성 키인 버전 0은 키 수명 주기 상태인 Rotated 로 업데이트되었으며 새 키인 버전 1Active입니다.

    고객 관리 키 준비

    다음 단계에 따라 고객 관리 키를 인스턴스에 업로드할 준비를 합니다.

    시작하기 전에

    필요한 역할: sn_kmf.admin 또는 sn_kmf.cryptographic_manager

    이 태스크 정보

    고객 관리형 키의 경우 암호화 라이브러리 또는 HSM을 사용하여 키를 생성할 수 있습니다. 이 키는 AES 256비트 키여야 하며 RSAES_OAEP_SHA_256 암호화 스키마가 있는 클라우드 암호화 래핑 인증서로 래핑되어야 합니다.
    주:

    OpenSSL 암호화 도구를 사용하여 키를 생성하도록 선택하는 경우 OpenSSL 버전은 버전 1.1.1x 이상이어야 합니다.

    를 사용하여 Windows고객 관리형 키를 만들고 래핑하는 경우 Git Bash와 같은 Bash 셸 지원 애플리케이션을 통해 래핑된 키를 생성해야 합니다.

    프로시저

    1. OpenSSL을 사용하여 AES-256비트 대칭 키로 사용할 임의의 값을 생성합니다.

      예를 들어 openSSL을 사용하여 openssl rand 32 명령을 사용하여 이 키를 생성할 수 있습니다.

      호환성을 위해 대칭 키에는 다음과 같은 특성이 있어야 합니다.

      속성
      키 유형 AES(Advanced Encryption Standard) 알고리즘 기반 대칭 키.
      키 크기 256비트(32바이트)
      키 래핑 요구 사항
      • RSA 암호화 알고리즘
      • OAEP(최적 비대칭 암호화 패딩)
      • SHA-256 해시 함수(RSAES_OAEP_SHA_256)
      • Base64 알고리즘을 사용하여 인코딩
    2. 키를 파일에 저장합니다.
      예를 들어, openSSL 명령 openssl rand 32 > plaintext_key.bin 는 32바이트 키를 생성하여 plaintext_key.bin라는 파일에 저장합니다.
      중요사항:
      나중에 참조할 수 있도록 이 파일을 안전하게 저장합니다. 이 키는 업로드할 공개 키로 래핑됩니다.
    3. 인스턴스에서 다운로드한 래핑 인증서 파일에서 공개 키를 추출합니다. 
      openssl x509 -pubkey -noout -in wrapping_cert.pem > public_key.pem
      주:
      래핑 인증서를 다운로드하는 방법은 을 참조하십시오.
    4. RSAES_OAEP_SHA_256 알고리즘을 사용하여 래핑 인증서와 함께 다운로드한 공개 키로 생성된 키를 래핑합니다. 
      cat plaintext_key.bin | openssl pkeyutl -encrypt -inkey public_key.pem -pubin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256 | openssl base64 -A -out wrapped_key.txt
      이 명령에 지정된 파일에는 CMK 프로세스에 대해 SN에 제공할 수 있는 래핑된 고객 관리형 키가 포함되어 있습니다.

    ServiceNow 키와 고객 관리형 키 간 전환

    에서 사용할 ServiceNow 클라우드 암호화고객 관리형 키 또는 ServiceNow 관리형 키 간에 전환합니다.

    기본적으로 인스턴스는 관리형 키를 ServiceNow 사용하도록 ServiceNow 구성되며 암호화 키 생성이 활성화됩니다. 그러나 관리자는 고객 관리형 키를 사용하도록 선택할 수 있습니다. 관리되는 키로 ServiceNow 돌아가도록 선택할 수도 있습니다.

    고객 관리 키 교대

    에 대한 클라우드 암호화고객 관리 키를 래핑한 후 고객 관리 키를 인스턴스로 회전합니다.

    시작하기 전에

    필요한 역할: sn_kmf.admin 또는 sn_kmf.cryptographic_manager

    프로시저

    1. 다음으로 이동 모두 > 클라우드 암호화 키 관리 > 키 관리 운영.
      클라우드 암호화 키 메타데이터 목록이 로드됩니다. 인스턴스에서 사용된 모든 키가 나열됩니다.
    2. 클라우드 암호화 키 메타데이터 목록에서 활성 키에 대한 기록을 엽니다.
      키가 여러 개인 경우 키 수명 주기 상태가활성인 키를 선택합니다. 인스턴스에 활성 키가 하나만 있습니다.
    3. 키 정의 기록에서 키 회전 버튼을 선택합니다.
    4. 고객 관리 키 업로드 창에서 나열된 단계를 수행합니다.
      1. 래핑 인증서 다운로드를 선택합니다.
        public_certificate.... zip은 로컬 머신에 다운로드되고 고객 관리 키를 래핑하는 데 사용됩니다.
        경고:
        고객 관리 키로 전환하거나 전환할 때마다 래핑 인증서를 다운로드하여 잠재적인 인증서 관련 문제를 방지합니다.
      2. 찾아보기를 선택하여 고객 관리 키를 업로드한 다음, 래핑된 암호화 키를 찾아 선택합니다.
        다른 파일을 선택하려면 파일을 선택하고 제거를 선택합니다.
      3. 첨부 파일 창을 닫습니다.
      4. 확인을 선택하여 키를 업로드합니다.
        키가 올바른 형식이면 확인 메시지가 나타나고, 그렇지 않으면 오류 메시지가 표시됩니다. 키 파일은 키 정의 기록에 첨부됩니다.

        키 관리 트랜잭션 테이블에 인증서 다운로드 및 키 업로드 단계가 나열됩니다. 요청 단계에 대한 자세한 내용은 을 참조하십시오 키 관리 트랜잭션 .

    5. 다음으로 이동 모두 > 클라우드 암호화 키 관리 > 키 관리 운영 키 목록을 보려면
      키 목록에서 고객 관리형 키에 대한 새 레코드를 볼 수 있습니다. 이 새 키의 Origin 값은 customer_supplied 이며 활성 상태입니다. 이전 키가 회전됨 상태입니다.

    고객 관리 키로 전환

    에 대해 ServiceNow 클라우드 암호화고객 관리 키를 사용합니다.

    시작하기 전에

    필요한 역할: sn_kmf.admin 또는 sn_kmf.cryptographic_manager

    고객 관리 키로 전환하려면 이러한 단계의 일부로 업로드할 래핑된 고객 관리 키가 준비되어야 합니다. 업로드를 위해 이 키를 준비하는 방법에 대한 자세한 내용은 을 참조하십시오 고객 관리 키 준비. 키를 업로드한 후 이 프로세스는 새 키에 대한 키 회전을 시작합니다.

    프로시저

    1. 다음으로 이동 모두 > 클라우드 암호화 키 관리 > 키 관리 운영.
    2. 클라우드 암호화 키 메타데이터 목록에서 활성 키에 대한 기록을 엽니다.
      키가 여러 개인 경우 키 수명 주기 상태가활성인 키를 선택합니다. 인스턴스에 활성 키가 하나만 있습니다.
    3. 양식의 관련 링크 섹션에서 고객 관리 키로 전환 링크를 선택합니다.
    4. 고객 관리형 키로 전환 대화 상자에서 관리형 키 업로드 버튼을 선택합니다.
    5. 고객 관리 키 업로드 대화 상자에서 나열된 단계를 수행합니다.
      1. 래핑 인증서 다운로드를 선택합니다.
        경고:
        고객 관리 키로 전환하거나 전환할 때마다 래핑 인증서를 다운로드하여 잠재적인 인증서 관련 문제를 방지합니다.
      2. 찾아보기를 선택하고 프롬프트에 따라 디바이스에서 키를 선택하고 업로드합니다.
      3. 고객 관리 키로 전환을 선택합니다.
      고객 관리 키로 전환하기 위한 요청이 인스턴스에서 생성됩니다. 현재 양식에서는 원래 활성 키의 키 수명 주기 상태가회전됨으로 변경된 것을 볼 수 있습니다.
    6. 다음으로 이동 모두 > 클라우드 암호화 키 관리 > 키 관리 운영 키 목록을 보려면
      키 목록에서 고객 관리형 키에 대한 새 레코드를 볼 수 있습니다. 이 새 키의 Origin 값은 customer_supplied 이며 활성 상태입니다.

    결과

    이제 인스턴스가 에 대해 ServiceNow 클라우드 암호화고객 관리형 키를 사용합니다.

    중요사항:
    키 관리 작업을 위해 암호화 키의 복사본을 항상 안전한 위치에 사용할 수 있는지 확인합니다. 이 키가 없으면 인스턴스에 액세스할 수 없게 될 수 있습니다.

    ServiceNow 관리 키로 전환

    고객 관리 키를 에 대한 ServiceNow 클라우드 암호화관리 키로 다시 전환합니다.

    시작하기 전에

    필요한 역할: sn_kmf.admin 또는 sn_kmf.cryptographic_manager

    프로시저

    1. 다음으로 이동 모두 > 클라우드 암호화 키 관리 > 키 관리 운영.
    2. 클라우드 암호화 키 메타데이터 목록에서 활성 키에 대한 기록을 엽니다.
      키가 여러 개인 경우 키 수명 주기 상태가활성인 키를 선택합니다. 인스턴스에 활성 키가 하나만 있습니다.
    3. 양식의 관련 링크 섹션에서 ServiceNow 관리 키로 전환 링크를 선택합니다.
    4. ServiceNow 관리 키로 전환 대화 상자에서 ServiceNow 관리 키로 전환 버튼을 선택합니다.
      인스턴스에서 관리 키로 전환 ServiceNow 하라는 요청을 생성합니다. 현재 양식에서는 원래 활성 키의 키 수명 주기 상태가회전됨으로 변경된 것을 볼 수 있습니다.
    5. 다음으로 이동 모두 > 클라우드 암호화 키 관리 > 키 관리 운영 키 목록을 보려면
      키 목록에서 관리되는 키에 대한 ServiceNow 새 레코드가 있는 것을 볼 수 있습니다. 이 새 키는 ServiceNowOrigin 값을 가지며 활성 상태입니다.

    키 회전 예약

    관리형 키의 자동 회전 ServiceNow 일정을 설정합니다. 이 프로세스는 암호화 키를 자동으로 폐기하고 이전 키를 새로 생성된 암호화 키로 대체합니다. 고객 관리형 키를 사용하는 경우 이 일정은 사용자 지정 키를 수동으로 교체하라는 미리 알림을 제공할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_kmf.admin

    프로시저

    1. 다음으로 이동 모두 > 클라우드 암호화 키 관리 > 일정이 예약된 키 전환 설정.
    2. 일정이 예약된 키 전환 활성화 확인란을 선택합니다.
    3. 비즈니스 요구에 따라 나머지 필드를 채웁니다.
      표 1. 일정이 예약된 키 전환 설정
      필드 설명
      키 전환 사이의 개월 수(최대 60개월) 키 전환 사이의 개월 수입니다. 이 값은 기본적으로 12 이며 최대 60 개월까지 지정할 수 있습니다.
      키 전환을 수행할 요일 키 회전이 수행되는 요일입니다.
      키 전환을 수행할 일의 시간 키 회전이 수행되는 시간입니다.
      다음 키 전환의 날짜 및 시간 다음으로 예약된 키 전환의 날짜 및 시간입니다. 이 값은 직접 편집할 수 없으며 선택 사항에 따라 자동으로 계산됩니다.
      미리 알림을 보낼 키 전환 전 일 수(최대 15일) 인스턴스에서 알림을 보내는 키 교체 날짜 이전의 일 수입니다.
      승인된 보안 관리자 목록으로 이메일 알림이 전송됩니다 키 회전에 대한 알림을 수신하는 사용자의 목록입니다. 기본적으로 시스템 관리자는 이 목록에 있습니다.
    4. 제출을 선택합니다.
      제출을 선택하면 양식 상단에서 알림을 볼 수 있습니다. 알림은 키 회전 및 알림 일정을 확인합니다.
      경고:

      예약된 각 키 회전에는 고유한 서명이 있어 작업의 무결성을 보장하고 무단 수정을 감지합니다. 예약된 작업의 서명은 각 인스턴스에서 고유합니다. 소스 인스턴스 A에서 대상 인스턴스 B로 예약된 키 회전 작업을 복제하는 경우 인스턴스 B의 예약된 작업은 서명 확인에 실패합니다. 이 경우 예약된 키 회전 사용 확인란을 선택 취소한 다음 다시 선택하여 서명을 다시 만들 수 있습니다. 이 문제에 대한 자세한 내용은 KB1247113 참조하십시오.

    고객 관리 키 철회

    고객 관리 키 철회 기능이 활성화되면 키 관리 작업 페이지에서 철회 작업을 사용할 수 있게 됩니다. 키 철회 및 쿼럼 승인 작업도 관리할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_kmf.admin 또는 sn_kmf.cryptographic_manager

    이 섹션은 에 대한 클라우드 암호화선택적 추가 기능인 Cloud Encryption 철회 및 재공급에 라이센스를 부여한 경우에만 적용됩니다.

    프로시저

    1. 다음으로 이동 모두 > 클라우드 암호화 키 관리 > > 키 관리 운영.
    2. 테이블에서 활성 고객 관리 키를 선택합니다.
      키 정의 테이블에 고객 키에 대한 일반 정보가 표시됩니다. 이제 철회 키 기능을 사용할 수 있습니다.
    3. 철회 키를 선택하여 철회 프로세스를 트리거합니다.
      경고:

      키 철회 경고 메시지가 표시됩니다. 키를 철회하면 철회된 키로 재개 작업이 수행될 때까지 인스턴스 종료가 트리거됩니다.

      위험:
      철회된 것과 동일한 키로만 복원 작업을 수행할 수 있습니다. 다른 키로 회전하려면 철회된 키를 복원한 후에 회전해야 합니다.

      철회된 고객 관리 키가 백업을 보존하는 ServiceNow 기간 내에 복원되지 않으면(자세한 내용은 백업 및 복원 SOP [표준 운영 절차] 참조) 인스턴스 데이터베이스 백업에 더 이상 액세스할 수 없습니다. 이러한 방식으로 손실된 백업 데이터는 복구할 수 없습니다.

    4. 확인을 선택하여 키를 철회합니다.
      키 철회 기능에 대해 의심이 가는 경우 취소 를 선택합니다.
      키 정의 화면으로 돌아가고 확인 메시지가 표시됩니다.
    5. 키 정의 페이지를 새로 고쳐 보류 중인 출금 요청을 확인합니다.
      키 관리 트랜잭션

      Quorum 통제 정책이 활성화된 경우 승인 워크플로우를 성공적으로 완료하여 키 철회를 완료해야 합니다. 자세한 내용은 Quorum 통제 관리 문서를 참조하십시오.

    고객 관리 키 재공급

    키 철회 작업이 완료된 후에는 고객 관리 키를 인스턴스에 다시 공급해야 합니다.

    시작하기 전에

    필요한 역할: sn_kmf.admin 또는 sn_kmf.cryptographic_manager

    주:
    이 섹션은 Cloud Encryption 철회 및 재공급에 라이선스를 부여한 경우에만 적용됩니다.

    프로시저

    1. 다음으로 Now Support 이동하여 다음으로 이동합니다. 서비스 카탈로그 > 카탈로그 > 인스턴스 관리 > 인스턴스 복원 - 관리형 키 재공급.
    2. 요청을 클릭합니다.
    3. 인스턴스 복원 - 관리 키 재공급 창의 인스턴스 선택 드롭다운에서 인스턴스를 선택합니다.
    4. 래핑 인증서 텍스트를 클릭하여 래핑 인증서를 다운로드합니다.
      경고:
      고객 관리 키를 회전하거나 업로드할 때마다 새 래핑 인증서를 다운로드해야 합니다.
    5. 업로드할 키를 준비합니다.
      이 프로세스에 대한 자세한 내용은 고객 관리 키 준비 문서를 참조하십시오.
    6. 4단계 섹션에서 찾아보기 및 업로드를 클릭하여 로컬 디바이스에서 래핑된 키를 업로드합니다.
      키가 업로드되면 아래 파일이 성공적으로 업로드됨에서 키를 볼 수 있습니다. 키를 다시 업로드해야 하는 경우 파일 제거 를 클릭하고 이전 단계에서 설명한 대로 키를 다시 업로드합니다.
    7. 키 회전을 클릭하여 재보급을 완료합니다.