Operações de gerenciamento de chaves

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 13 min. de leitura

    • O submódulo de Operações de gerenciamento de chave fornece acesso para exibir e gerenciar todas as chaves de criptografia usadas com o ServiceNow Criptografia da nuvem.

    Estados do ciclo de vida da chave

    Em qualquer momento, haverá apenas uma chave ativa no sistema. Ao selecionar uma chave, você acessa a atividade da chave selecionada, como quais chaves foram giradas ou retiradas e o carimbo de data/hora correspondente.

    O estado do ciclo de vida da chave é atualizado de acordo com a operação de gerenciamento de chave realizada.

    Mostra os estados do ciclo de vida atualizados.

    Consulte Girar uma chave gerenciada pela ServiceNow ou Girar uma chave gerenciada pelo cliente para obter detalhes.

    Nota:
    O processo de rotação de chave pode levar até 20 minutos para ser concluído.

    Girar uma chave gerenciada pela ServiceNow

    Gire a chave gerenciada pela Criptografia da nuvem ServiceNow ativa.

    Antes de Iniciar

    Funções necessárias: sn_kmf.admin ou sn_kmf.cryptographic_manager

    Importante:
    Se você estiver usando chaves gerenciadas pelo cliente, consulte Girar uma chave gerenciada pelo cliente.

    Procedimento

    1. Navegar até Tudo > Gestão da Chave de criptografia da nuvem > Operações de gestão de chaves.
      A lista de Metadados da chave da Criptografia da nuvem será carregada. Todas as chaves usadas em sua instância serão listadas. Somente uma chave pode estar ativa em um determinado momento.

      Se estiver acessando o módulo do Criptografia da nuvem pela primeira vez, as entradas de chave ficarão disponíveis após a execução de uma rotação de chave inicial. Uma chave gerenciada pela ServiceNow é o padrão no sistema.

    2. Selecione a chave ativa na tabela.
      A tabela Definição de chave será exibida com informações gerais sobre a chave gerada pela ServiceNow.
    3. Selecione o botão Girar chave.
      Será exibida uma notificação com a opção de continuar a rotação da chave ou de cancelar a operação.
    4. Selecione OK para girar a chave.
      Uma mensagem de confirmação será exibida na parte superior da página de Definição de chave.
    5. Retorne à tela Operações de gerenciamento de chaves para atualizar a tabela Metadados de chave da Criptografia da nuvem.
      Serão listadas as entradas para a chave ativa atual e a chave que está sendo gerada para girar no lugar da chave ativa atual. Consulte Estados do ciclo de vida da chave da Estrutura de gestão de chaves para os diferentes estados disponíveis.

      A chave ativa será listada com uma versão de chave 0 e a chave gerada terá uma versão de 1.

    6. Abra a entrada da chave original para exibir as Transações de gerenciamento de chave.
      Para obter mais informações, consulte Transações de gestão de chaves.
      A chave anteriormente ativa, versão 0, será atualizada para o estado do ciclo de vida da chave de Rotação e a nova chave, versão 1, estará Ativa.

    Preparação da sua chave gerenciada pelo cliente

    Siga estas etapas para preparar sua chave gerenciada pelo cliente para carregar em sua instância.

    Antes de Iniciar

    Funções necessárias: sn_kmf.admin ou sn_kmf.cryptographic_manager

    Por Que e Quando Desempenhar Esta Tarefa

    Para uma chave gerenciada pelo cliente, você pode usar qualquer biblioteca criptográfica ou HSM para gerar sua chave. Esta chave deve ser uma chave AES de 256 bits e ser encapsulada por um certificado de encapsulamento de Criptografia da nuvem com um esquema de criptografia RSAES_OAEP_SHA_256.
    Nota:

    Se você optar por usar a ferramenta criptográfica OpenSSL para gerar sua chave, a versão do OpenSSL deverá ser 1.1.1x ou posterior.

    Se estiver criando e encapsulando sua chave gerenciada pelo cliente usando o Windows, será necessário gerar a chave encapsulada por meio de aplicações de suporte de shell do Bash, como o Git Bash.

    Procedimento

    1. Gere um valor aleatório para usar como sua chave simétrica AES-256 usando o OpenSSL.

      Por exemplo, usando o openSSL, é possível gerar essa chave com o comando openssl rand 32.

      Para ter compatibilidade, sua chave simétrica deve possuir os seguintes atributos:

      Atributo Valor
      Tipo de chave Chave simétrica baseada em algoritmo Padrão de criptografia avançada (AES).
      Tamanho da chave 256 bits (32 bytes)
      Requisito de encapsulamento de chave
      • Algoritmo de criptografia RSA
      • Preenchimento de criptografia assimétrica ideal (OAEP)
      • Função de hash SHA-256 (RSAES_OAEP_SHA_256)
      • Codificação usando o algoritmo Base64
    2. Salve a chave em um arquivo.
      Por exemplo, o comando openssl rand 32 > plaintext_key.bin do openSSL gera uma chave de 32 bytes e a salva em um arquivo chamado plaintext_key.bin.
      Importante:
      Salve esse arquivo com segurança para referência futura. Essa chave será encapsulada com a chave pública para carregamento.
    3. Extraia a chave pública do arquivo de certificado de encapsulamento baixado da sua instância: 
      openssl x509 -pubkey -noout -in wrapping_cert.pem > public_key.pem
      Nota:
      Consulte para obter informações sobre como baixar o certificado de encapsulamento.
    4. Encapsule a chave gerada com a chave pública baixada com o certificado de encapsulamento usando o algoritmo RSAES_OAEP_SHA_256: 
      cat plaintext_key.bin | openssl pkeyutl -encrypt -inkey public_key.pem -pubin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256 | openssl base64 -A -out wrapped_key.txt
      Um arquivo especificado nesse comando contém uma chave gerenciada pelo cliente que pode ser fornecida à SN para o processo do CMK.

    Alternância entre a ServiceNow e as chaves gerenciadas pelo cliente

    Alterne entre chave gerenciada pelo cliente ou chaves gerenciadas pela ServiceNow para uso no ServiceNow Criptografia da nuvem.

    Por padrão, sua instância está configurada para usar chaves gerenciadas pela ServiceNow e a geração de chave de criptografia do ServiceNow está ativa. No entanto, os administradores podem optar por usar chaves gerenciadas pelo cliente. Também podem optar por retornar para chaves gerenciadas pela ServiceNow.

    Girar uma chave gerenciada pelo cliente

    Gire a chave gerenciada pelo cliente de sua instância depois de encapsular a chave gerenciada do cliente para Criptografia da nuvem.

    Antes de Iniciar

    Funções necessárias: sn_kmf.admin ou sn_kmf.cryptographic_manager

    Procedimento

    1. Navegar até Tudo > Gestão da Chave de criptografia da nuvem > Operações de gestão de chaves.
      A lista de Metadados da chave do Criptografia da nuvem será carregada. Todas as chaves que foram usadas em sua instância serão listadas.
    2. Na lista de Metadados de chave do Criptografia da nuvem, abra o registro da sua chave ativa.
      Se tiver várias chaves, selecione aquela com o estado Ativo no Estado do ciclo de vida da chave. Só existe uma chave ativa na sua instância.
    3. No registro de definição de chave, selecione o botão Girar chave.
    4. Na janela Carregar chave gerenciada do cliente, execute as etapas listadas.
      1. Selecione Baixar certificado de encapsulamento.
        O zip public_certificate .... será baixado para sua máquina local e usado para encapsular sua chave gerenciada pelo cliente.
        Aviso:
        Evite possíveis problemas relacionados a certificados baixando o certificado de encapsulamento sempre que girar ou alternar para uma chave gerenciada pelo cliente.
      2. Selecione Procurar para carregar sua chave gerenciada pelo cliente e, em seguida, localize e selecione sua chave de criptografia encapsulada.
        Para escolher um arquivo diferente, selecione-o e clique em Remover.
      3. Feche a janela Anexos.
      4. Clique em OK para carregar sua chave.
        Se a chave estiver no formato correto, será exibida uma mensagem de confirmação. Caso contrário, será exibida uma mensagem de erro. O arquivo de chave será anexado ao registro de definição de chave.

        Na tabela Transações de gerenciamento de chave, as etapas de download do certificado e de carregamento da chave são listadas. Consulte Transações de gestão de chaves para obter detalhes sobre as etapas de solicitação.

    5. Navegar até Tudo > Gestão da Chave de criptografia da nuvem > Operações de gestão de chaves para ver a lista de chaves.
      Na lista de chaves, você poderá ver um novo registro para sua chave gerenciada pelo cliente. Essa nova chave terá um valor de Origem de customer_supplied e estará no estado Ativo. Sua chave anterior estará no estado Rotacionado.

    Alternar para uma chave gerenciada pelo cliente

    Use sua chave gerenciada pelo cliente no ServiceNow Criptografia da nuvem.

    Antes de Iniciar

    Função necessária: sn_kmf.admin ou sn_kmf.cryptographic_manager

    Para alternar para uma chave gerenciada pelo cliente, é necessário que você tenha uma chave gerenciada pelo cliente encapsulada para carregar como parte dessas etapas. Para obter detalhes sobre como preparar essa chave para carregá-la, consulte Preparação da sua chave gerenciada pelo cliente. Depois de carregar sua chave, esse processo inicializará uma rotação de chave para sua nova chave.

    Procedimento

    1. Navegar até Tudo > Gestão da Chave de criptografia da nuvem > Operações de gestão de chaves.
    2. Na lista de Metadados de chave do Criptografia da nuvem, abra o registro da sua chave ativa.
      Se tiver várias chaves, selecione aquela com o estado Ativo no Estado do ciclo de vida da chave. Só existe uma chave ativa na sua instância.
    3. Na seção Links relacionados do formulário, clique no link Alternar para chave gerenciada pelo cliente.
    4. Na caixa de diálogo Alternar para chave gerenciada pelo cliente, clique no botão Carregar chave gerenciada.
    5. Na caixa de diálogo Carregar chave gerenciada pelo cliente execute os passos listados.
      1. Selecione Baixar certificado de encapsulamento.
        Aviso:
        Evite possíveis problemas relacionados a certificados baixando o certificado de encapsulamento sempre que girar ou alternar para uma chave gerenciada pelo cliente.
      2. Selecione Navegar e siga as instruções para selecionar e carregar a chave do seu dispositivo.
      3. Selecione Alternar para chave gerenciada pelo cliente.
      Uma solicitação para alternar para a chave gerenciada do cliente será gerada pela instância. No formulário atual, será possível ver que o estado do ciclo de vida da chave originalmente ativa foi alterado para Girado.
    6. Navegar até Tudo > Gestão da Chave de criptografia da nuvem > Operações de gestão de chaves para ver a lista de chaves.
      Na lista de chaves, você poderá ver um novo registro para sua chave gerenciada pelo cliente. Essa nova chave terá um valor de Origem de customer_supplied e estará no estado Ativo.

    Resultado

    Sua instância agora usará sua chave gerenciada pelo cliente noServiceNow Criptografia da nuvem.

    Importante:
    Certifique-se de que uma cópia de sua chave de criptografia esteja sempre disponível em um local seguro para operações de gerenciamento de chaves. Sem essa chave, sua instância pode ficar inacessível.

    Alternância para uma chave gerenciada da ServiceNow

    Alterne uma chave gerenciada pelo cliente de volta para uma chave gerenciada pela ServiceNow Criptografia da nuvem.

    Antes de Iniciar

    Função necessária: sn_kmf.admin ou sn_kmf.cryptographic_manager

    Procedimento

    1. Navegar até Tudo > Gestão da Chave de criptografia da nuvem > Operações de gestão de chaves.
    2. Na lista de Metadados de chave do Criptografia da nuvem, abra o registro da sua chave ativa.
      Se tiver várias chaves, selecione aquela com o estado Ativo no Estado do ciclo de vida da chave. Só existe uma chave ativa na sua instância.
    3. Na seção Links relacionados do formulário, clique no link Alternar para chave gerenciada pela ServiceNow.
    4. Na caixa de diálogo Alternar para chave gerenciada pela ServiceNow, clique no botão Alternar para chave gerenciada pela ServiceNow.
      Uma solicitação para alternar para a chave gerenciada pela ServiceNow será gerada pela instância. No formulário atual, será possível ver que o estado do ciclo de vida da chave originalmente ativa foi alterado para Girado.
    5. Navegar até Tudo > Gestão da Chave de criptografia da nuvem > Operações de gestão de chaves para ver a lista de chaves.
      Na lista de chaves, você poderá ver um novo registro para sua chave gerenciada pela ServiceNow. Essa nova chave terá um valor de Origem de ServiceNow e estará no estado Ativo.

    Programar rotação de chaves

    Defina uma programação para a rotação automática das chaves gerenciadas por ServiceNow. Este processo desativa automaticamente uma chave de criptografia e substitui a chave antiga por uma chave criptográfica recém-gerada. Se você estiver usando uma chave gerenciada pelo cliente, esta programação pode fornecer um lembrete para girar suas chaves personalizadas manualmente.

    Antes de Iniciar

    Função necessária: sn_kmf.admin

    Procedimento

    1. Navegar até Tudo > Gestão da Chave de criptografia da nuvem > Configurações de rotação de chave programada.
    2. Marque a caixa de seleção Habilitar rotação de chave programada.
    3. Preencha os campos restantes com base em suas necessidades de negócios.
      Tabela 1. Configurações de rotação de chave programada
      Campo Descrição
      Número de meses entre as rotações de chaves (máximo de 60 meses) Número de meses entre as rotações de chaves. Esse valor é 12 por padrão e pode ter um máximo de 60 meses.
      Dia da semana para executar a rotação de chaves Dia da semana em que a rotação de chaves é feita.
      Hora do dia para executar a rotação de chaves Hora do dia em que a rotação de chaves é feita.
      Data e hora da próxima rotação de chaves Data e hora da próxima rotação programada de chaves. Esse valor não é editável diretamente e é calculado automaticamente com base em suas escolhas.
      Número de dias antes da rotação de chaves para enviar o lembrete (máximo de 15 dias) Número de dias antes da data da rotação de chaves em que sua instância envia notificações.
      As notificações por e-mail são enviadas para a seguinte lista de administradores de segurança aprovados Lista de usuários que recebem notificações para rotação de chaves. O administrador do sistema está nesta lista por padrão.
    4. Selecione Enviar
      Depois de selecionar Enviar, você verá uma notificação na parte superior do formulário. As notificações confirmam a rotação de chaves e a programação de notificação.
      Aviso:

      Cada rotação de chave programada tem uma assinatura exclusiva, que garante a integridade do trabalho e detecta qualquer modificação não autorizada. A assinatura de um trabalho agendado é exclusiva em cada instância. Ao clonar um trabalho de rotação de chave programada de uma instância de origem A para uma instância de destino B, o trabalho agendado na instância B falhará na validação de assinatura. Se isso ocorrer, você pode recriar a assinatura desmarcando e marcando novamente a caixa de seleção Habilitar rotação de chave programada. Para obter mais detalhes sobre esse problema, consulte KB1247113.

    Retirar uma chave gerenciada pelo cliente

    Depois que a funcionalidade de retirada de chave gerenciada pelo cliente for ativada, uma operação de retirada se tornará disponível na página Operações de gerenciamento de chaves. As operações de retirada de chave e de aprovação de quórum também podem ser gerenciadas.

    Antes de Iniciar

    Funções necessárias: sn_kmf.admin ou sn_kmf.cryptographic_manager

    Esta seção se aplica somente se você tiver licenciado a Retirada e o Reabastecimento da Criptografia da nuvem, um complemento opcional para Criptografia da nuvem.

    Procedimento

    1. Navegar até Tudo > Gestão da Chave de criptografia da nuvem > > Operações de gestão de chaves.
    2. Selecionar a chave gerenciada pelo cliente ativa da tabela.
      A tabela de definição de chaves exibe informações gerais sobre a chave do cliente. Uma função de chave de retirada agora está disponível.
    3. Selecione a Retirar chave para acionar o processo de retirada.
      Aviso:

      Será exibida uma mensagem de aviso de Retirar chave. A retirada da chave acionará o desligamento da sua instância até que uma operação de restauração seja realizada com a chave retirada.

      Perigo:
      Você só pode executar uma operação de restauração com a mesma chave que foi retirada. Se você quiser rotacionar para outra chave, faça isso depois de restaurar a chave que foi retirada.

      Se a chave gerenciada pelo cliente retirada não for restaurada dentro do intervalo de tempo no qual ServiceNow retém backups (consulte o POP [Procedimento operacional padrão] de backup e restauração para obter mais detalhes), os backups de banco de dados da instância ficarão inacessíveis. Os dados de backup perdidos dessa forma não são recuperáveis.

    4. Selecione OK para retirar a chave.
      Selecione Cancelar se houver alguma dúvida sobre a função de retirada da chave.
      Você retornará para a tela Definição de chave e será exibida uma mensagem de confirmação.
    5. Atualize a página Definição de chave para exibir a solicitação de retirada pendente.
      Transação de gerenciamento de chaves

      Se a política de controle de quórum tiver sido ativada, o fluxo de trabalho de aprovação deverá ser concluído com sucesso para concluir a retirada da chave. Consulte Gerenciar controle de quórum para obter detalhes.

    Reabastecer uma chave gerenciada pelo cliente

    Depois que uma operação de retirada de chave for concluída, a chave gerenciada pelo cliente deverá ser reabastecida em sua instância.

    Antes de Iniciar

    Função necessária: sn_kmf.admin ou sn_kmf.cryptographic_manager

    Nota:
    Esta seção se aplica somente se você tiver licenciado a Retirada e o Reabastecimento da Criptografia da nuvem.

    Procedimento

    1. Ir para Now Support e navegar até Catálogo de serviços > Catálogo > Gestão de instâncias > Restauração de instância - Reabastecer chave gerenciada.
    2. Clique em Solicitar.
    3. Na janela Restauração de instância - Reabastecer chave gerenciada, selecione sua instância na lista suspensa Selecionar instância.
    4. Baixe o certificado de encapsulamento clicando no texto do certificado de encapsulamento.
      Aviso:
      Você deve baixar um novo certificado de encapsulamento sempre que girar ou carregar uma chave gerenciada pelo cliente.
    5. Prepare sua chave para upload.
      Para obter detalhes sobre este processo, consulte Preparação da sua chave gerenciada pelo cliente.
    6. Na seção Etapa 4, clique em Procurar e carregar para carregar sua chave encapsulada a partir do dispositivo local.
      Depois que a chave for carregada, você poderá vê-la em Arquivo abaixo carregado com sucesso. Se precisar carregar novamente a chave, clique em Remover arquivo e carregue a chave novamente conforme descrito nas etapas anteriores.
    7. Clique em Girar chave para concluir o reabastecimento.