署名を移行して顧客証明書を使用する

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:4分

    • 署名ジョブを実行して、署名を顧客 Root of Trust (ROT) に移行します。

    始める前に

    必要なロール:admin、security_admin、および sn_kmf.cryptographic_manager

    保護された信頼できるインスタンスでコード署名を有効にする必要があります。com.snc.kmf.signature.validation.flag システムプロパティが true に設定されていることを確認することで確認できます。

    この手順は、インスタンス上の顧客の Root of Trust(ROT)を変更する一連の手順の一部です。このプロセスの概要については、「Root of Trust 構成の変更」を参照してください。

    手順

    1. 保護されたインスタンスにログインします。
    2. 次のように移動する。 All (すべて) > システム定義 > スケジュール済みジョブ.
    3. [ROT - 顧客証明書を使用して署名を移行するためのレコードの更新セットを生成 (ROT - Generate Updateset of records to migrate signatures using customer certificate)] スケジュール済みジョブを見つけて開きます。
    4. フォームの下部にある [今すぐ実行] を選択します。
    5. 次のように移動する。 All (すべて) > システムセキュリティ > セキュリティジョブ > 新規作成.
    6. プロンプトで、[署名ジョブ] を選択します。
    7. 必要に応じて、[署名ジョブ] フォームのフィールドに入力します。
      フィールド
      名前 ジョブの一意の名前を作成します。
      タイプ [更新セットに署名する (Sign Update Set)] を選択します。
      テーブル これまでのステップで作成した更新セットを選択します。更新セットの名前は change_root_of_trust_updateSet で始まります。
    8. フォームヘッダーを右クリックし、[保存] を選択してこのレコードを保存します。
    9. フォームヘッダーを右クリックし、 エクスポート > XML (このレコード) をクリックして、このレコードを XML ファイルとしてエクスポートします。
    10. 信頼できるインスタンスにログインします。
    11. 次のように移動する。 All (すべて) > システムセキュリティ > セキュリティジョブ > All (すべて).
    12. リストヘッダーを右クリックして、[XML のインポート] を選択します。
    13. [XML のインポート] フォームで、[ファイルを選択] を選択し、以前の手順でダウンロードした XML ファイルを選択します。
    14. [アップロード] を選択します。
    15. リストから、インポートされたセキュリティジョブを開きます。
    16. [コード署名ジョブを本番環境にエクスポートします] を選択します。
      このアクションにより、ジョブが署名され、保護されたインスタンスにインポートできる新しい更新セットに配置されます。
      重要:
      ジョブに署名した後、10 分以内に次の手順を実行する必要があります。この期間を超えた場合は、これらの手順を使用してジョブに再署名すると、別の署名済み更新セットが作成されます。
    17. 次のように移動する。 All (すべて) > システムアップデートセット > ローカル更新セット.
    18. これまでの手順で作成した更新セットを見つけます。
      名前は SIGN_UPDATE_SET_updateSet で始まります。
    19. 更新セットを XML ファイルとしてエクスポートするには、[XML をエクスポート (Export XML)] を選択します。
    20. 保護されたインスタンスにログインします。
    21. 次のように移動する。 All (すべて) > システムアップデートセット > 取得済み更新セット.
    22. リストの下部で、[XML から更新セットをインポート] を選択します。
    23. [XML のインポート] フォームで、[ファイルを選択] を選択し、以前の手順でダウンロードした XML ファイルを選択します。
    24. [アップロード] を選択します。
    25. 次のように移動する。 All (すべて) > システムアップデートセット > 取得済み更新セットをクリックし、 SIGN_UPDATE_SET_updateSetで始まる更新セットを開きます。
    26. [Preview Update Set (更新セットをプレビュー)] をクリックします。
    27. プレビューが完了したら、[Commit Update Set] を選択します。
    28. 次のように移動する。 All (すべて) > システムセキュリティ > セキュリティジョブ > All (すべて).
    29. インポートされたセキュリティジョブを開きます。
    30. [開始] を選択して署名ジョブを実行します。

      セキュリティジョブが完了すると、ジョブのステータスに関する情報が [サマリー] フィールドに表示されます。

      ジョブの状態が「終了」の場合、更新セットレコードのすべての署名で、顧客が提供した証明書を検証証明書として使用する必要があります。これは、KMF 署名レコード [sn_kmf_record_signature] テーブルで確認できます。

    次のタスク

    Root of Trust の構成プロセスを続行するには、「ServiceNow Root of Trust の無効化」を参照してください。