期限切れ間近の SAML 証明書の置き換え - Support and Troubleshooting

期限切れ間近の SAML 証明書の置き換え Issue この記事では、期限切れ間近の SAML 証明書を置き換え、有効期限が切れたら古い証明書を削除する手順について説明します。通常、実際の有効期限の 2 週間から 4 週間前に、管理者に ID プロバイダー証明書の有効期限が切れることが通知されます。この時点で、ID プロバイダーシステムで新しい証明書が作成され、ServiceNow システムにインポートできます。

一般的な手順 次の手順は複数プロバイダー SSO に使用されます。まだ SAML 2.0 Update 1 を使用している場合は、できるだけ早く複数プロバイダー SSO にアップグレードしてください。

証明書の置き換えは、次の 3 つの一般的な手順で行われます。

証明書を作成します。

証明書を ID プロバイダーレコードに追加します。

有効期限が切れた後、古い証明書を削除します。

証明書の有効期限が残り 4 週間になるたびに、これらの手順を繰り返します。

詳細な手順 証明書を作成します。

IdP (ID プロバイダー) 管理者に連絡して、新しい証明書を .pem 形式で提供してもらいます。他の形式が指定されている場合は、ファイルを .pem 形式に変換します。このタイプの変換を実行するために、サードパーティのサイトをオンラインで利用できます。.pem 形式の証明書は、テキストエディタで開くことで認識できます。

テキストファイルの内容 (BEGIN CERTIFICATE と END CERTIFICATE の見出しを含む) をコピーしますが、先頭または末尾の改行はコピーしません。

-----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- ServiceNow インスタンスのブラウザウィンドウで、[複数プロバイダー SSO (Multi-Provider SSO)] に移動し、X.509 証明書モジュールに移動します。

[新規 (New)] をクリックして、新しい証明書を作成します。

証明書に名前を付けます。検索しやすくするために、名前に有効期限の年を含めることを検討してください。

BEGIN CERTIFICATE と END CERTIFICATE の見出しを含む情報を [PEM 証明書 (PEM certificate)] フィールドに貼り付けて、レコードを保存します。この時点で、証明書に有効期限の情報と一般的な情報が表示されます。これは、証明書が有効であることを示しています。

証明書を ID プロバイダーレコードに追加します。

[ 複数プロバイダー SSO (Multi-Provider SSO) ] > [ ID プロバイダー (Identity Providers) ] に移動します 。

新しい証明書を作成したアクティブなデフォルト ID プロバイダーを選択します。

「X.509 証明書」の関連リストが表示されるまでスクロールし、[編集 (Edit)] ボタンをクリックします。

新しく作成した証明書を左から右に移動し、現在の証明書を右側 (選択済み) のままにします。

[保存 (Save)] をクリックします。これで、古い証明書と新しい証明書の両方が IdP レコードに関連付けられます。

これらの手順が完了してから数週間後に、古い証明書の有効期限が切れます。システムは SAML 応答の署名と照合して IdP レコードに関連するすべての証明書を自動的にチェックするため、実際の有効期限の日に機能停止や手順は必要ありません。

有効期限が切れた後、古い証明書を削除します。

古い証明書の有効期限が切れたら、[複数プロバイダー SSO (Multi-Provider SSO)] に移動し、X.509 証明書モジュールに移動します。

有効期限が過去である証明書を検索し、アクティブフラグを false に変更します。

[複数プロバイダー SSO (Multi-Provider SSO)] > [ID プロバイダー (Identity Providers)] に移動します。

新しい証明書を使用したアクティブなデフォルト ID プロバイダーを選択します。

X.509 証明書の関連リストが表示されるまでスクロールし、[編集 (Edit)] ボタンをクリックします。

期限が切れた証明書を右から左に移動し、現在の (新しい) 証明書は右側 (選択済み) のままにします。

Release Helsinki 以降

Related Links Jakarta バージョン以降では、SAML 証明書の IdP を自動的にクエリするように ServiceNow インスタンスを構成できます。製品ドキュメントのトピック「 複数プロバイダー SSO を使用した SAML 2.0 構成の作成 」に記載されているように、IdP プロパティは、[ IdP プロパティのインポート元のメタデータ URL (Metadata URL from which IDP properties are imported) ] フィールドの [ 詳細 (Advanced) ] タブで設定された URL からインポートされます。設定すると、以前の証明書の有効期限が切れた場合に、IdP からの SAML 証明書の自動インポートが有効になります。

注意： SAML2 Update 1 から複数プロバイダー SSO にアップグレードする場合、または SSO 接続を手動で設定する場合、IdP メタデータ URL は自動的には入力されません。