Configurar troca de chaves
Estrutura de gestão principal (KMF) gera solicitações de troca de chave automáticas para módulos criptográficos compatíveis durante a nova instalação ou upgrade da instância. gerencia a chave de criptografia de dados localmente para a instância.
Antes de Iniciar
Um módulo criptográfico com uma chave deve ser criado nas instâncias de destino e de origem antes de usar o Key Exchange.
Função necessária: sn_kmf.cryptographic_manager
Por Que e Quando Desempenhar Esta Tarefa
As solicitações de Key Exchange são iniciadas a partir da instância de destino.
A troca automática de chaves fica ativa por padrão ao clonar uma instância em que a propriedade é clonada para a instância de destino. Com KMF, configure as propriedades do sistema para gerenciar como as chaves são tratadas durante um clone de instância:
- Desativar a troca automática de chaves: defina a propriedade glide_encryption.auto_key_exchange.enabled como falsa para solicitações de clonagem recorrentes.
- Enviar solicitações de troca de chave automática: defina esta propriedade como verdadeira.
Procedimento
-
No formulário, preencha os campos.
Tabela 1. Resource Exchange Solicitar campos de formulário Nome Descrição Frequência de troca - Adhoc: envia solicitações da instância de destino da chave para a instância de origem. Insira o sys_id da instância e as informações do host da origem. Não compatível com a recriação de chave do Key Exchange.
- Clone único: troca única das chaves das especificações de criptografia da origem para a instância de destino.
- Clone recorrente: troca de chaves das especificações criptográficas de origem selecionadas para a instância de destino em um clone recorrente definido.
Instância <Source or Target> sys_id - Adhoc: insira o sys_id da instância de origem para solicitar as chaves.
- Clone único, clone recorrente: insira o sys_id da instância de destino que envia as solicitações.Dica:Insira stats.do no navegador de aplicações para localizar o ID da instância.
Host da instância de <Source or Target> Insira o local do host ou o nome da instância de origem ou de destino. Dica:Por exemplo, instanceA.service-now.comEspecificações de criptografia As chaves da especificação de criptografia em um módulo de criptografia definem as chaves a serem clonadas. Para solicitações de clone únicas e recorrentes, sua instância cria automaticamente uma política de acesso ao módulo Resource Exchange. Não é necessário configurar uma política manualmente. Nota:Clique na busca usando o ícone de lista (
) para procurar as especificações criptográficas disponíveis.Habilitar rechaveamento após importação de chave Opção para ativar a recriação de chaves automática. -
Selecione Enviar.
Se for bem-sucedido, uma confirmação será exibida na parte superior do formulário. A tabela Solicitações será atualizada com uma entrada de Solicitação Pendente na instância de origem e na instância de destino. Abra o registro de solicitação para exibir o status da solicitação, a contagem de chaves importadas e a contagem total de chaves no host de destino ou de origem.
-
A solicitação pendente é aceita na instância de origem para concluir a troca.
No momento da clonagem, a política de acesso ao módulo na instância de origem é invocada para aprovar automaticamente a solicitação e enviar chaves para o destino recém-clonado.
Resultado
Depois de tentar uma troca de chave, sua instância de não produção atualiza a propriedade do sistema protected.script.values.kmf.rekeyed. Essa propriedade fica visível na tabela Propriedades do Sistema [sys_properties] após uma tentativa de troca de chaves. Se a criptografia que usa a chave trocada for bem-sucedida, esta propriedade terá como valor verdadeiro. Caso contrário, a propriedade terá como valor falso. Se o valor for falso, a instância tentará criptografar novamente no dia seguinte.