Atualizando o Edge Encryption

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 7 min. de leitura

    • As atualizações de instância e de servidor proxy exigem consideração especial em um ambiente Edge Encryption.

    Atualizações de instância

    Atualizações de instância em um ambiente Edge Encryption exigem cuidado para garantir que os controles de borda funcionem corretamente após o upgrade da instância.

    Durante uma atualização de instância, não adicione, edite ou exclua:
    • Configurações do Edge Encryption
    • Regras do Edge Encryption
    • Padrões de tokenização do Edge Encryption
    • Trabalhos programados do Edge Encryption
    • Configurações-chave do Edge Encryption
    • Atualizações programadas do Edge Encryption
    • Configurações de IP da lista de proibições do Edge Encryption

    Qualquer trabalho programado em execução durante o upgrade da instância não será concluído. Para concluir o trabalho interrompido, execute-o novamente depois que a instância for atualizada. Ao reprogramar o trabalho, o processamento que ocorreu antes da atualização da instância não é perdido e o trabalho continua a processar somente os dados que ainda não foram processados.

    Atualizações do servidor proxy

    Programe uma atualização de proxy para permitir que a instância atualize o servidor proxy Edge Encryption ou atualize manualmente o servidor proxy a qualquer momento.
    Aviso:
    Para um upgrade no Windows, você pode encontrar problemas de bloqueio de arquivo e o upgrade pode falhar. Para que a atualização seja bem-sucedida, não deixe nenhum arquivo aberto no diretório de instalação. Além disso, não deve haver nenhum shell no diretório de instalação. Em especial, se você iniciar o proxy na linha de comando (via bin\edgeencryption.bat install/start) enquanto estiver no diretório de instalação, feche esse shell ou remova-o do diretório de instalação posteriormente. Nenhum arquivo no diretório de instalação deve ser aberto por um editor ou por qualquer outra aplicação.

    Bibliotecas de terceiros

    Bibliotecas de terceiros, como a Gemalto, serão perdidas durante as atualizações de servidor proxy e de instância se forem mantidas no mesmo diretório. Para evitar a perda de bibliotecas de terceiros durante as atualizações, você pode:
    1. Adicionar manualmente a seguinte propriedade a "edgeencryption.properties":

      edgeencryption.ekm.provider.classname = com.snc.edgeencryption.encryption.CloudEdgeNaeKeyProvider

    2. Adicionar a propriedade de local da biblioteca do fornecedor edgeencryption.thirdparty.vendor.library.path e a definir como /path/to/jars.

      Por exemplo:

      edgeencryption.thirdparty.vendor.library.path = /app/servicenow/libs

    3. Copie os JARs da SafeNet para esse caminho.

    Depois de instalar as bibliotecas de terceiros fora da instalação Edge Encryption, elas não serão mais perdidas durante as atualizações.

    Atualizações programadas

    Importante:
    Durante as atualizações da Instância ServiceNow, atualize também a versão do seu servidor proxy para se alinhar com a versão da instância e reduzir o risco de problemas de compatibilidade.
    Programe um upgrade para permitir que a instância atualize o servidor proxy no horário programado. Esta funcionalidade estará disponível por padrão após a atualização. Uma atualização programada inclui os seguintes eventos:
    1. O servidor proxy verifica com a instância para ver se há uma nova versão disponível para atualização. Novas versões geralmente se tornam disponíveis quando a instância é atualizada.
    2. O administrador recebe uma notificação ao fazer login quando uma nova versão do servidor proxy está disponível.
    3. O administrador pode Programar um upgrade do servidor proxy do Edge Encryption para cada servidor proxy.
      Nota:
      Somente usuários com a função "security_admin" podem criar uma programação de atualização por meio do servidor proxy.
    4. Depois que a atualização é programada, o servidor proxy é atualizado automaticamente no horário programado. Durante a atualização, o servidor proxy fica off-line por apenas um curto período de tempo.
      Nota:
      Como o servidor proxy é reiniciado durante a atualização, ele fica off-line por um curto período de tempo. A duração é determinada pelo seu ambiente e quanto tempo leva para parar e reiniciar o serviço de proxy.
    5. Durante o upgrade programado, um novo diretório de proxy é criado, seus arquivos de configuração são copiados para ele e novas propriedades são gravadas no arquivo de propriedades existente. Os seguintes arquivos ou diretórios no seu diretório de proxy antigo são copiados para o novo diretório de proxy.
      • Diretório /conf
      • Diretório /keys
      • Diretório /keystore
      • Arquivo java/jre/lib/security/cacerts
      Como resultado, suas chaves, armazenamentos de chaves, configurações e certificados serão preservados.
      Nota:
      Somente os arquivos acima são copiados para o novo diretório de proxy. Quaisquer outros arquivos personalizados no diretório do servidor proxy não são preservados durante um upgrade programado. O arquivo de log de atualização pode ser encontrado no diretório do proxy original na seguinte pasta: <original-proxy-directory>/tmp/upgrade-wrapper/bin.

    Pré-requisitos para atualizações programadas

    Antes de programar um upgrade para um proxy de Edge Encryption, verifique o seguinte:
    1. A variável de ambiente JAVA_HOME aponta para uma instalação Java na máquina que está fora da estrutura de diretórios do proxy de Edge Encryption.
    2. A variável de ambiente JAVA_HOME aponta para uma instalação do java que está na versão 1.8_u144 ou superior.
    3. O parâmetro -Djava.io.tmpdir no arquivo "wrapper.conf" do proxy de Edge Encryption aponta para um diretório que está FORA da estrutura de diretórios do proxy de Edge Encryption e o proxy tem permissões de leitura/gravação/execução no diretório. Como opção, você pode comentar todo o parâmetro para que o Java use a localização tmp padrão.

    Atualizações manuais

    Em vez de criar uma programação de atualização, você pode atualizar manualmente cada servidor proxy por meio da linha de comando. Consulte Upgrade manual de um servidor proxy de Edge Encryption em execução no Linux ou Atualização manual de um servidor proxy de Edge Encryption em execução no Windows.

    Status de compilação de proxy

    Você pode identificar facilmente se um servidor proxy está desatualizado, navegando até Configuração de Edge Encryption > Proxies > Tudo. O status da compilação de proxy é indicado na coluna Compilação de proxy pelas seguintes cores:

    Verde
    Seu servidor proxy está atualizado.
    Amarelo
    Seu servidor proxy está desatualizado e um upgrade é necessário.
    Laranja
    Falha no upgrade. O servidor proxy será revertido para a versão antiga para garantir que não haja tempo de inatividade.

    Como solucionar problemas de falha na atualização programada de proxy

    Quando uma atualização programada de proxy falha, o servidor proxy é revertido para a versão que você possuía até o momento. Todos os dados, chaves e arquivos de configuração originais são preservados. Esse processo pode levar vários minutos. Entre em contato com Suporte e atendimento ao cliente para garantir um upgrade bem-sucedido.

    Para determinar o motivo da falha, você pode verificar o Motivo da falha na programação de atualização. Além disso, o diretório de instalação da atualização com falha é mantido para que os arquivos de log estejam disponíveis para solução de problemas.
    Nota:
    Antes de excluir qualquer diretório de proxy extra, sempre confirme qual diretório é o atual ao revisar os arquivos de log. Se os arquivos de log tiveram atividade recente, o proxy poderá estar conectado à sua instância.

    Se um upgrade programado de proxy falhar repetidamente, você poderá atualizar seu servidor proxy manualmente. Consulte Upgrade manual de um servidor proxy de Edge Encryption em execução no Linux e Atualização manual de um servidor proxy de Edge Encryption em execução no Windows.

    Requisitos mínimos de Java

    A máquina host que instala ou executa o servidor proxy Edge Encryption deve manter uma versão compatível do Java. As versões atualmente compatíveis são Java 11.0.6 ou posterior na série da versão 11.x
    Nota:
    O Java 8 não será mais compatível a partir da versão Utah. Atualize seu ambiente com o proxy Edge Encryption para Java 11 antes de tentar instalar a versão Utah do proxy Edge Encryption.

    Se estiver usando a criptografia AES de 256 bits com o Java 8 atualização 141 (8u141) ou inferior, você deverá instalar os arquivos de política de jurisdição da Extensão de Criptografia Java (JCE), copiando-os no diretório inicial do Java do sistema de cada host do servidor proxy Edge Encryption. Adicione esses arquivos à pasta <Java-home-directory>/jre/lib/security antes de executar uma atualização programada ou manual. Para instalar os arquivos de política de criptografia do AES de 256 bits, consulte Configurar a chave de criptografia AES de 256 bits.

    Ambientes com versões de proxy mistas

    Embora não seja recomendado um ambiente que execute versões antigas e atualizadas do servidor proxy, ele será compatível se todos os servidores proxy estiverem na mesma família de versões da sua instância. Por exemplo, se você tiver uma instância na versão Washington DC, seu ambiente oferecerá suporte a servidores proxy de qualquer patch Washington DC ou hot fix. No entanto, as seguintes limitações se aplicam:

    • Se um servidor proxy oferecer suporte a uma funcionalidade que outro não oferece, você verá um comportamento inconsistente, dependendo de qual servidor proxy é usado.
    • Se um servidor proxy estiver desatualizado, ele pode não incluir melhorias de segurança recentes.

    Se um servidor proxy de uma versão anterior estiver registrado com uma versão mais recente da instância, você receberá notificações regulares de que o servidor proxy está desatualizado. Para garantir um ambiente ideal e seguro, ServiceNow recomenda sempre atualizar seu servidor proxy para a versão mais recente do software compatível com sua instância.