Mudar a configuração de Raiz de confiança

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 1 min. de leitura

    • Confie e use seus próprios certificados em vez de depender de certificados de compilação ServiceNow (padrão), alterando para usar sua raiz de confiança (ROT). Componentes ServiceNow, como inclusões de script, regras de negócios etc., são assinados no tempo de compilação usando uma chave de tempo de compilação ServiceNow (o certificado de verificação é o certificado de compilação ServiceNow).

    Alterar a raiz de confiança

    Para mudar a Raiz de confiança dessas assinaturas de registros, você deve seguir a mudança do processo de Raiz de confiança.
    • Gere e migre um novo conjunto de assinaturas para todos os componentes fornecidos usando o certificado fornecido.
    • Desabilite a propriedade da Raiz de confiança usando um trabalho agendado.
    Saiba mais sobre essas etapas em Migrar assinaturas para usar um certificado do cliente e Desabilitar a raiz de confiança da ServiceNow.

    Impacto na geração de assinatura e no processo de verificação

    Por padrão, os certificados de compilação de assinatura de código são confiáveis durante o processo de verificação de assinatura. Depois de fazer essa mudança, sua instância aceitará assinaturas somente do seu próprio certificado de assinatura de código.

    Antes e depois de alterar a configuração de ROT
    Propriedade de ROT definida como falsa (padrão) Propriedade de ROT definida como verdadeira
    • Ao verificar, as assinaturas com certificados de compilação são confiáveis.
    • Ao assinar, se você não fornecer chaves, a chave de assinatura da instância será usada como uma chave de backup.
    • O endpoint REST de assinatura api/sn_kmf/signature/certificates retorna certificados de compilação de assinatura de código ServiceNow junto com outros certificados presentes na instância.
    • Ao verificar, as assinaturas com certificados de compilação não são confiáveis.
    • Ao assinar, se você não fornecer chaves, a assinatura não será realizada.
    • O endpoint REST de assinatura api/sn_kmf/signature/certificates exclui certificados de compilação ServiceNow (San Diego, Vancouver PKI, W PKI).

    Impacto no seu MID Server

    Se a propriedade ROT for definida como falsa
    Se você optar por deixar sua propriedade ROT com o valor padrão (falso), não haverá impacto no seu MID Server.
    Quando a assinatura de código está habilitada e a propriedade ROT está definida como verdadeira
    • A API isTrusted() retorna falso para assinaturas com um certificado de compilação.
    • A API isTrusted() retorna verdadeiro para assinaturas com seu certificado.
    • A chamada de REST API para certificados exclui certificados de compilação.
    • Você pode ver problemas do MID Server, como mensagens de falha na validação de assinatura nos logs.