インスタンスでの SSL/TLS 暗号化 - Support and Troubleshooting

インスタンスでの SSL/TLS 暗号化 Issue ServiceNow では、お客様のセキュリティとプライバシーを保護することを最優先事項としているため、SSL/TLS を使用してすべてのお客様インスタンスの通信を暗号化しています。クラス最高の保護を提供し続けるために、SSL/TLS暗号化に使用される証明書を定期的に更新しています。SSL証明書の寿命が短いため、公開期間が短縮され、予期せぬセキュリティ問題に対処するための柔軟性も高まります。最近の多くの見出しで、SSL プロトコルとその周辺テクノロジー (Heartbleed、POODLE、ルート CA の侵害、不正な開示) の暴露が取り上げられているため、ServiceNow は現在および将来の脅威に先手を打つために必要なステップであると考えています。

SSL 証明書の変更 ServiceNow は現在、証明書を 6 か月ごとにローテーション/更新しており、このアクティビティは 14 日前に通知されます。これは業界のベストプラクティスであり、ServiceNow は顧客のセキュリティを向上させることができます。 顧客とそのサードパーティシステムは、既存の ServiceNow 証明書をハードコーディングして、証明書自体の更新時に手動で変更するのではなく、証明書ベンダーである Entrust が提供するルート証明書を信頼することをお勧めします。 Entrust が発行した証明書は Chrome ブラウザーで受け入れられなくなるという Google の 発表 により、ServiceNow は Entrust ではなく Digicert からインスタンスの新しい証明書 (*.service-now.com 証明書またはワイルドカード証明書とも呼ばれます) を発行します。シームレスな移行を確実にするために、お客様とそのサードパーティシステムも Digicert からのルート証明書を信頼するように構成することをお勧めします。 インスタンスがこの変更の影響を受けるかどうかの判断 ServiceNow Web アプリケーションを利用するすべての顧客は新しい SSL 証明書を使用しますが、 ほとんどの場合、これは透過的な変更です 。

手動操作が必要になる可能性が高いのは、現在の ServiceNow SSL 証明書 (および/またはその中間証明書とルート証明書) をハードコーディングした統合サーバー、キャッシュサーバー、またはプロキシサーバーを使用している顧客のみです。

一部のインバウンド統合 (ServiceNow インスタンスに接続するサービス) では、現在の SSL 証明書がハードコードされている場合があります。ServiceNow インスタンスに接続する統合のサービスオーナーに連絡して、SSL 証明書の変更が適切に処理されることを確認してください。ServiceNow が、インスタンスに接続しているどのサードパーティシステムが現在の証明書をハードコードしているかを判断することは技術的に不可能であることに注意してください。これは、ユーザーがブラウザにパスワードを保存するのと似ています。入力したパスワードが正しいかどうかを確認することしかできず、そのパスワードがどのように保持されているかを判断することはできません。 https:// .service-now.com/ 以外の URL、またはインスタンスから展開されたカスタム URL 以外の URL ( こちら を参照) で ServiceNow インスタンスにアクセスする場合、プロキシ経由でインスタンスにアクセスしている可能性があります。IT 部門またはネットワーク管理者に連絡して、プロキシが SSL 証明書の変更を適切に処理できることを確認してください。 Internet Explorer、Firefox、Chrome、Safari などの通常の Web ブラウザは影響を受けません。

SSL 証明書のアップグレードの準備 更新された Web ブラウザを使用し、ソフトウェアのパッチレベルを維持します。 ServiceNow から提供された情報を読み、影響を受ける可能性のある組織のメンバーにこの変更を伝えます。 ServiceNow では、ServiceNow 証明書をハードコーディングしないことをお勧めします。ハードコードされた証明書では、古い証明書が新しい正しい証明書に手動で置き換えられるまで、証明書の変更中にアクセスが中断される可能性があります。 ルート CA の変更に関する通知の受信 現在のワイルドカード証明書は、サードパーティ認証局 (CA) として Entrust から発行されます。*.service-now.com 証明書には 2 つのバージョンがあり、どちらも Entrust によって発行されますが、有効期限が異なります。

1) ほとんどのインスタンスでは、「Entrust Certification Authority - L1K」から発行されたシリアル番号 10d3e2066f5d2ae7b29050e6d8eaa648 の証明書を使用します。この証明書は 2025 年 5 月 13 日 04:56:45 GMT まで有効で、2025 年 4 月に Digicert から発行された証明書で更新されます。

2) ECDSAサイファーがアクティブ化されている、またはTLS 1.3がテストされているインスタンスは、「Entrust Certification Authority - L1F」から発行されたシリアル番号1caa52eaa9cbb28791753d624194dfbfの証明書を使用します。この証明書は 2025 年 1 月 30 日 14:05:05 GMT まで有効で、2025 年 1 月に Digicert から発行された証明書で更新されます。2025 年 4 月に TLS 1.2 証明書とともに再度更新され、その日から同期が維持されます。

次のコメントを使用して証明書情報を確認できます。

openssl s_client -tls1_3 -connect .service-now.com:443

openssl s_client -tls1_2 -connect .service-now.com:443

tls 1_3 バージョンは、インスタンスで TLS 1.3 が利用可能な場合にのみ正常な結果を返すことに注意してください。

ワイルドカード証明書の両方のバージョンは、Entrust に代わって CA を務める Digicert から発行されます。変更については 14 日前に通知を送信する予定で、この KB 記事は最新バージョンの証明書で最新の状態に保たれます。

Release 全てのリリース

Resolution SSL 証明書の変更に関するヘルプの入手

SSL 証明書の変更に問題があると思われる場合は、 ServiceNow テクニカルサポート にお問い合わせください。インスタンスに接続しているどのサードパーティシステムが現在の証明書をハードコードしているかを ServiceNow が特定することは技術的に不可能であるため、サポートは、どのサードパーティシステムが影響を受ける可能性があるかを判断することはできません。

SSL 証明書

SSL証明書の変更による影響を受ける可能性があると判断した場合は、以下のzipファイル内の証明書を使用してください。

star.service-now.com.zip

zip ファイルには、3 つの証明書セットが含まれています

Entrust の既存の TLS 1.2 証明書 Entrust の既存の TLS 1.3 証明書 Digicert からの提供予定の TLS 1.3 証明書 証明書がハードコードされているサードパーティシステムがある場合は、3 つのセットすべてをその構成に追加することを強くお勧めします。

Related Links How to determine where your data center is hosted? - KB0538621

OCSP requirements for MID servers for Entrust & Digicert - KB1709661

ServiceNow Replacing Entrust Certificate Authority (CA) - KB1702083