鍵交換の設定

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:3分

    • キー管理フレームワーク (KMF) は、インスタンスの新規インストールまたはアップグレード中に、サポートされている暗号化モジュールの自動鍵交換要求を生成します。KMF はインスタンスのデータ暗号化キーをローカルに管理します。

    始める前に

    キーを持つ KMF 暗号化モジュールは、鍵交換 を使用する前にターゲットとソースの両方のインスタンスで作成する必要があります。

    必要なロール:sn_kmf.cryptographic_manager

    このタスクについて

    鍵交換要求はターゲットインスタンスから開始されます。

    自動鍵交換は、プロパティがターゲットインスタンスにクローンされるインスタンスをクローンするときにデフォルトで有効になります。KMF とともに、システムプロパティを設定して、インスタンスのクローン中のキーの処理方法を管理します。

    • 自動鍵交換のオフ:繰り返しクローン要求の glide_encryption.auto_key_exchange.enabled プロパティを false に設定します。
    • 自動鍵交換要求の送信:このプロパティを true に設定します。
    重要:
    ベースシステムプロパティはデフォルトで true に設定されています。これは、インスタンスのクローン作成時に自動鍵交換がアクティブ化されることを意味します。鍵交換によるリキー暗号テキスト または繰り返し鍵交換機能を利用する場合は、この値を false に設定する必要があります。詳細については「繰り返し鍵交換のチュートリアル」を参照してください。

    手順

    1. 次のように移動する。 All (すべて) > キー管理 > リソース交換要求 > 新規.
    2. フォームのフィールドに入力します。
      表 : 1. リソース交換要求フォームのフィールド
      名前 説明
      交換頻度
      • アドホック:キーターゲットインスタンスからソースインスタンスへ要求を送信します。ソースのインスタンスの sys_id とホスト情報を入力します。鍵交換のリキーではサポートされていません。
      • ワンタイムクローン:ソース暗号化仕様からターゲットインスタンスへのキーの 1 回限りの交換。
      • 繰り返しクローン:定義された繰り返しクローンで、選択したソース暗号化仕様からターゲットインスタンスにキーを交換します。
      <Source or Target> インスタンス sys_id
      • アドホック:キーを要求するソースインスタンスの sys_id を入力します。
      • 1 回限りのクローン繰り返しクローン:要求を送信するターゲットインスタンスの sys_id を入力します。
        ヒント:
        アプリケーションナビゲーターに「stats.do」と入力してインスタンス ID を見つけます。
      <Source or Target> インスタンスホスト ソースまたはターゲットインスタンスのホストの場所または名前を入力します。
      ヒント:
      例:instanceA.service-now.com
      暗号化仕様 暗号化モジュールの暗号化仕様のキーによって、クローンするキーが定義されます。1 回限りのクローン要求と繰り返しのクローン要求の両方で、インスタンスは自動的にリソース交換モジュールのアクセスポリシーを作成します。ポリシーを手動で設定する必要はありません。
      注:
      [リストから参照] アイコン ([リストから参照] アイコン) を選択して使用可能な暗号化仕様を参照します。
      キーのインポート後にリキーを有効にする 自動リキーを有効にするオプション。
    3. [送信] を選択します。
      成功すると、フォームの上部に確認が表示されます。要求テーブルは、ソースインスタンスとターゲットインスタンスの両方において、処理待ちの要求のエントリで更新されます。要求レコードを開くと、要求のステータス、インポートされたキー数、およびターゲットまたはソースホストの合計キー数が表示されます。
      要求の要求ステータスを表示します。
    4. 処理待ちの要求がソースインスタンスで受け入れられ、交換が完了します。

      クローン時に、ソースインスタンスのモジュールアクセスポリシーが呼び出され、要求が自動的に承認されて、新しくクローンされたターゲットにキーが送信されます。

      要求レコードの [ステータス] フィールドに [要求が承認された] と表示されます。

    タスクの結果

    鍵交換が試行された後、非本番インスタンスで protected.script.values.kmf.rekeyed システムプロパティが更新されます。このプロパティは、鍵交換の試行後にシステムプロパティ [sys_properties] テーブルに表示されます。交換されたキーを使用した暗号化が成功した場合、このプロパティの値は true です。それ以外の場合、プロパティの値は false です。値が false の場合、インスタンスは翌日に暗号化を再試行します。