Proteja os tópicos do Kafka gerando um certificado assinado pela instância ServiceNow®.
Antes de Iniciar
Configurar o Serviço de envio de mensagens Hermes requer coordenação com o administrador da rede e com o administrador do Kafka. Trabalhe com o administrador da rede para obter os certificados de segurança e abrir as portas necessárias. Trabalhe com o administrador do Kafka para garantir que o ambiente do Kafka esteja configurado corretamente e que as aplicações possam se conectar ao Serviço de envio de mensagens Hermes usando o protocolo padrão do Kafka.
Certifique-se de que a seguinte configuração esteja em vigor:
- O Serviço de envio de mensagens Hermes está ativado. Consulte Activating the Hermes Messaging Service.
- O plug-in da Estrutura de gestão de chaves (com.glide.kmf.global) está ativado.
- A tabela Certificados [sys_kmf_certificate] contém um certificado de autoridade de certificação raiz da instância ServiceNow.
- A instância não está configurada com uma URL personalizada. URLs personalizadas não são compatíveis com o Gerador de certificados PKI da instância.
Função necessária: hermes_admin, sn_kmf.cryptographic_manager ou admin
Para obter detalhes sobre como atribuir funções do KMF, consulte Roles installed with Key Management Framework.
Procedimento
-
Navegar até .
- Opcional:
Controle o acesso a tópicos configurando listas de controle de acesso (ACLs) no namespace ou no nível de tópico.
| Opção | Descrição |
|---|
| Aplicar ACLs a namespaces |
- Selecione Configurar ACLs.
- Na caixa de diálogo ACLs de Tópico, selecione Namespaces.
- Insira um namespace que você deseja configurar.
- Defina o nível de permissão selecionando Somente Leitura ou Leitura/Gravação.
- Selecione Adicionar.
|
| Aplicar ACLs a tópicos definidos |
- Selecione Configurar ACLs.
- Na caixa de diálogo ACLs de Tópico, selecione Tópicos definidos.
- Insira um tópico existente que você deseja configurar.
- Defina o nível de permissão selecionando Somente Leitura ou Leitura/Gravação.
- Selecione Adicionar.
|
O portador do certificado recebe acesso de leitura ou leitura/gravação aos tópicos no namespace ou ao tópico existente que você selecionou.
-
Configure a segurança para o Serviço de envio de mensagens Hermes.
-
Navegue de volta para a página Gerador de Certificado PKI de Instância.
-
Insira uma senha de armazenamento de chaves no campo Senha do Certificado.
-
Selecione Gerar.
O sistema gera um certificado assinado pela instância na tabela Certificados [sys_kmf_certificate], cria um armazenamento de chaves e um repositório de confiança.
Se o acesso restrito do solicitante não for permitido para o Gerador de certificados IPKI, um erro de acesso entre escopos será exibido. Contato Suporte e atendimento ao cliente Para obter assistência com a permissão de acesso restrito do solicitante. Para resolver este problema, Suporte e atendimento ao cliente Pode fazer referência a source_scope
-
Salve uma cópia do armazenamento de chaves selecionando Download de Armazenamento de Chaves.
-
Salve uma cópia do repositório de confiança selecionando Download de Repositório de Confiança.
-
Copie os arquivos de armazenamento de chaves e de repositório de confiança para cada produtor e cliente consumidor que se conectem ao Serviço de envio de mensagens Hermes.
Resultado
Agora você pode criar uma conexão segura com o Serviço de envio de mensagens Hermes.
Nota: Você deve usar o armazenamento de chaves gerado usando o Gerador de Certificado PKI de Instância para se conectar a Hermes. Os armazenamentos de chaves gerados de forma personalizada que não são criados de acordo com a documentação de ServiceNow não são compatíveis.