ServiceNow® インスタンス署名証明書を生成して Kafka トピックを保護します。
始める前に
Hermes メッセージングサービス を設定するには、ネットワーク管理者および Kafka 管理者との調整が必要です。ネットワークアドミニストレーターと協力して必要なセキュリティ証明書を取得し、必要なポートを開きます。Kafka アドミニストレーターと協力して、Kafka 環境が正しく構成され、アプリケーションが標準の Kafka プロトコルを使用して Hermes メッセージングサービス に接続できることを確認します。
次のセットアップが行われていることを確認します。
- Hermes メッセージングサービス がアクティブ化されている。「Hermes Messaging Service activation」を参照してください。
- キー管理フレームワークプラグイン (com.glide.kmf.global) がアクティブ化されている。
- 証明書 [sys_kmf_certificate] テーブルに、ServiceNow インスタンスのルート CA 証明書が含まれている。
必要なロール:hermes_admin、sn_kmf.cryptographic_manager または admin
KMF ロールのアサインの詳細については、「キー管理フレームワークとともにインストールされるロール」を参照してください。
手順
-
次のように移動する。 .
-
制限付き発信者アクセスを承認します。
-
制限付き発信者アクセスの承認に関するメッセージで、[レコードを表示] を選択します。
-
[制限付き発信者アクセス特権] レコードフォームで、[ステータス] フィールドを [承認済み] に変更します。
-
[保存] を選択します。
- オプション:
名前空間またはトピックレベルでアクセス制御リスト (ACL) を設定して、トピックへのアクセスを制御します。
| オプション | 説明 |
|---|
| 名前空間に ACL を適用する |
- [ACL を構成 (Configure ACLs)] を選択します。
- [トピック ACL] ダイアログボックスで、[名前空間] を選択します。
- 構成する名前空間を入力します。
- [読み取り専用] または [読み取り/書き込み] を選択して、アクセス許可レベルを設定します。
- [追加] を選択します。
|
| 定義されたトピックに ACL を適用する |
- [ACL を構成 (Configure ACLs)] を選択します。
- [トピック ACL] ダイアログボックスで、[定義されたトピック] を選択します。
- 設定する既存のトピックを入力します。
- [読み取り専用] または [読み取り/書き込み] を選択して、アクセス許可レベルを設定します。
- [追加] を選択します。
|
証明書の対象者には、名前空間内のトピックまたは選択した既存のトピックへの読み取りアクセス権または読み取り/書き込みアクセス権が付与されます。
-
Hermes メッセージングサービス のセキュリティを設定します。
-
[インスタンス PKI 証明書ジェネレーター] ページに戻ります。
-
[証明書パスワード] フィールドにキーストアパスワードを入力します。
-
[生成] を選択します。
システムは、証明書 [sys_kmf_certificate] テーブルにインスタンス署名付き証明書を生成し、キーストアを作成して、トラストストアを作成します。
-
[キーストアをダウンロード] を選択して、キーストアのコピーを保存します。
-
[トラストストアをダウンロード] を選択して、トラストストアのコピーを保存します。
-
キーストアファイルとトラストストアファイルを、Hermes メッセージングサービス に接続する各プロデューサーとコンシューマークライアントにコピーします。
タスクの結果
これで、Hermes メッセージングサービス への安全な接続を作成できます。
注: Hermes に接続するには、インスタンス PKI 証明書ジェネレーターを使用して生成したキーストアを使用する必要があります。ServiceNow のドキュメントに従って作成されていないカスタム生成のキーストアは、サポートされていません。