Atualizando o Edge Encryption

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 7 min. de leitura

    • Os upgrades de instância e de servidor proxy exigem consideração especial em um ambiente Edge Encryption.

    Upgrades de instância

    Upgrades de instância em um ambiente Edge Encryption exigem cuidado para garantir que os controles de borda funcionem corretamente após o upgrade da instância.

    Durante um upgrade de instância, não adicione, edite ou exclua:
    • Configurações do Edge Encryption
    • Regras do Edge Encryption
    • Padrões de tokenização do Edge Encryption
    • Trabalhos agendados do Edge Encryption
    • Configurações-chave do Edge Encryption
    • Upgrades programados do Edge Encryption
    • Configurações de IP da lista de proibições do Edge Encryption

    Qualquer trabalho agendado em execução durante o upgrade da instância não será concluído. Para concluir o trabalho interrompido, execute-o novamente depois que a instância for atualizada. Ao reprogramar o trabalho, o processamento que ocorreu antes do upgrade da instância não é perdido e o trabalho continua a processar somente os dados que ainda não foram processados.

    Upgrades do servidor proxy

    Programe um upgrade de proxy para permitir que a instância atualize o servidor proxy Edge Encryption ou atualize manualmente o servidor proxy a qualquer momento.
    Aviso:
    Para um upgrade no Windows, você pode encontrar problemas de bloqueio de arquivo e o upgrade pode falhar. Para que o upgrade seja bem-sucedido, não deixe nenhum arquivo aberto no diretório de instalação. Além disso, não deve haver nenhum shell no diretório de instalação. Em especial, se você iniciar o proxy na linha de comando (via bin\edgeencryption.bat install/start) enquanto estiver no diretório de instalação, feche esse shell ou remova-o do diretório de instalação posteriormente. Nenhum arquivo no diretório de instalação deve ser aberto por um editor ou por qualquer outra aplicação.

    Bibliotecas de terceiros

    Bibliotecas de terceiros, como a Gemalto, serão perdidas durante os upgrades de servidor proxy e de instância se forem mantidas no mesmo diretório. Para evitar a perda de bibliotecas de terceiros durante os upgrades, você pode:
    1. Adicionar manualmente a seguinte propriedade a "edgeencryption.properties":

      edgeencryption.ekm.provider.classname = com.snc.edgeencryption.encryption.CloudEdgeNaeKeyProvider

    2. Adicionar a propriedade de local da biblioteca do fornecedor edgeencryption.thirdparty.vendor.library.path e a definir como /path/to/jars.

      Por exemplo:

      edgeencryption.thirdparty.vendor.library.path = /app/servicenow/libs

    3. Copie os JARs da SafeNet para esse caminho.

    Depois de instalar as bibliotecas de terceiros fora da instalação Edge Encryption, elas não serão mais perdidas durante os upgrades.

    Upgrades programados

    Importante:
    Durante os upgrades da Instância ServiceNow, atualize também a versão do seu servidor proxy para se alinhar com a versão da instância e reduzir o risco de problemas de compatibilidade.
    Programe um upgrade para permitir que a instância atualize o servidor proxy no horário programado. Esta funcionalidade estará disponível por padrão após a atualização. Um upgrade programado inclui os seguintes eventos:
    1. O servidor proxy verifica com a instância para ver se há uma nova versão disponível para upgrade. Novas versões geralmente se tornam disponíveis quando a instância recebe upgrade.
    2. O administrador recebe uma notificação ao fazer login quando uma nova versão do servidor proxy está disponível.
    3. O administrador pode Agendar um upgrade do servidor proxy do Edge Encryption para cada servidor proxy.
      Nota:
      Somente usuários com a função "security_admin" podem criar uma programação de upgrade por meio do servidor proxy.
    4. Depois que o upgrade é programado, o servidor proxy recebe upgrade automaticamente no horário programado. Durante o upgrade, o servidor proxy fica off-line por apenas um curto período de tempo.
      Nota:
      Como o servidor proxy é reiniciado durante o upgrade, ele fica off-line por um curto período de tempo. A duração é determinada pelo seu ambiente e quanto tempo leva para parar e reiniciar o serviço de proxy.
    5. Durante o upgrade programado, um novo diretório de proxy é criado, seus arquivos de configuração são copiados para ele e novas propriedades são gravadas no arquivo de propriedades existente. Os seguintes arquivos ou diretórios no seu diretório de proxy antigo são copiados para o novo diretório de proxy.
      • Diretório /conf
      • Diretório /keys
      • Diretório /keystore
      • Arquivo java/jre/lib/security/cacerts
      Como resultado, suas chaves, armazenamentos de chaves, configurações e certificados serão preservados.
      Nota:
      Somente os arquivos acima são copiados para o novo diretório de proxy. Quaisquer outros arquivos personalizados no diretório do servidor proxy não são preservados durante um upgrade programado. O arquivo de log de atualização pode ser encontrado no diretório do proxy original na seguinte pasta: <original-proxy-directory>/tmp/upgrade-wrapper/bin.

    Pré-requisitos para upgrades programados

    Antes de agendar um upgrade para um proxy de Edge Encryption, verifique o seguinte:
    1. A variável de ambiente JAVA_HOME aponta para uma instalação Java na máquina que está fora da estrutura de diretórios do proxy de Edge Encryption.
    2. A variável de ambiente JAVA_HOME aponta para uma instalação do java que está na versão 1.8_u144 ou superior.
    3. O parâmetro -Djava.io.tmpdir no arquivo "wrapper.conf" do proxy de Edge Encryption aponta para um diretório que está FORA da estrutura de diretórios do proxy de Edge Encryption e o proxy tem permissões de leitura/gravação/execução no diretório. Como opção, você pode comentar todo o parâmetro para que o Java use a localização tmp padrão.

    Upgrades manuais

    Em vez de criar uma programação de upgrade, você pode fazer o upgrade manualmente cada servidor proxy por meio da linha de comando. Consulte Upgrade manual de um servidor proxy de Edge Encryption em execução no Linux ou Upgrade manual de um servidor proxy de Edge Encryption em execução no Windows.

    Status de compilação de proxy

    Você pode identificar facilmente se um servidor proxy está desatualizado navegando até Configuração de Edge Encryption > Proxies > Tudo. O status da compilação de proxy é indicado na coluna Compilação de proxy pelas seguintes cores:

    Verde
    Seu servidor proxy está atualizado.
    Amarelo
    Seu servidor proxy está desatualizado e um upgrade é necessário.
    Laranja
    Falha no upgrade. O servidor proxy será revertido para a versão antiga para garantir que não haja tempo de inatividade.

    Como solucionar problemas de falha no upgrade programado de proxy

    Quando um upgrade programado de proxy falha, o servidor proxy é revertido para a versão que você possuía até o momento. Todos os dados, chaves e arquivos de configuração originais são preservados. Esse processo pode levar vários minutos. Entre em contato com Suporte e atendimento ao cliente para garantir um upgrade bem-sucedido.

    Para determinar o motivo da falha, você pode verificar o Motivo da falha na programação de upgrade. Além disso, o diretório de instalação do upgrade com falha é mantido para que os arquivos de log estejam disponíveis para solução de problemas.
    Nota:
    Antes de excluir qualquer diretório de proxy extra, sempre confirme qual diretório é o atual ao revisar os arquivos de log. Se os arquivos de log tiveram atividade recente, o proxy poderá estar conectado à sua instância.

    Se um upgrade programado de proxy falhar repetidamente, você poderá atualizar seu servidor proxy manualmente. Consulte Upgrade manual de um servidor proxy de Edge Encryption em execução no Linux e Upgrade manual de um servidor proxy de Edge Encryption em execução no Windows.

    Requisitos mínimos de Java

    A máquina host que instala ou executa o servidor proxy Edge Encryption deve manter uma versão compatível do Java. As versões compatíveis atuais são Java 17.0.3 ou posterior na série de versões 17.x.
    Nota:
    O Java 11 não será mais compatível a partir da versão Yokohama. Faça upgrade do seu ambiente com o proxy Edge Encryption para Java 17 antes de tentar instalar o Yokohama ou versões posteriores do proxy Edge Encryption.

    Se estiver usando a criptografia AES de 256 bits com o Java 8 atualização 141 (8u141) ou inferior, você deverá instalar os arquivos de política de jurisdição da Extensão de Criptografia Java (JCE), copiando-os no diretório inicial do Java do sistema de cada host do servidor proxy Edge Encryption. Adicione esses arquivos à pasta <Java-home-directory>/jre/lib/security antes de executar um upgrade programado ou manual. Para instalar os arquivos de política de criptografia do AES de 256 bits, consulte Configurar a chave de criptografia AES de 256 bits.

    Ambientes com versões de proxy mistas

    Embora não seja recomendado um ambiente que execute versões antigas e atualizadas do servidor proxy, ele será compatível se todos os servidores proxy estiverem na mesma família de versões da sua instância. Por exemplo, se você tiver uma instância na versão Yokohama, seu ambiente oferecerá suporte a servidores proxy de qualquer patch Yokohama ou hot fix. No entanto, as seguintes limitações se aplicam:

    • Se um servidor proxy oferecer suporte a uma funcionalidade que outro não oferece, você verá um comportamento inconsistente, dependendo de qual servidor proxy é usado.
    • Se um servidor proxy estiver desatualizado, ele pode não incluir melhorias de segurança recentes.

    Se um servidor proxy de uma versão anterior estiver registrado com uma versão mais recente da instância, você receberá notificações regulares de que o servidor proxy está desatualizado. Para garantir um ambiente ideal e seguro, ServiceNow recomenda sempre atualizar seu servidor proxy para a versão mais recente do software compatível com sua instância.