KMF で暗号化された Password2 フィールドを含むレコードをインポートする際の考慮事項 - Support and Troubleshooting

KMF で暗号化された Password2 フィールドを含むレコードをインポートする際の考慮事項 Summary .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } span { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } h2 { font-size: 24pt; font-family: Lato; color: var(--now-color--text-primary, black); } h3 { font-size: 18pt; font-family: Lato; color: var(--now-color--text-primary, black); } h4 { font-size: 14pt; font-family: Lato; color: var(--now-color--text-primary, black); } a { font-size: 12pt; font-family: Lato; color: var(--now-color--link-primary, #00718F); } a:hover { font-size: 12pt; color: var(--now-color--link-primary, #024F69); } a:target { font-size: 12pt; color: var(--now-color--link-primary, #032D42); } a:visited { font-size: 12pt; color: var(--now-color--link-primary, #00718f); } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } ServiceNow の Rome リリース以降、password2 フィールド (インスタンスが復号化できる双方向暗号化) は KMF で暗号化されます。

各インスタンスには KMF 用の独自の暗号化キーがあり、プラットフォームのセキュリティが強化されます。password2 フィールドを含むレコードを「インスタンス A」からエクスポートし、「インスタンス B」にインポートする場合、「インスタンス A」のキーで暗号化されているため、「インスタンス B」では password2 値を復号化できないことを考慮する必要があります。

「インスタンス B」が password2 値を復号化するには、 KMF リソース交換 を実行する必要があります。

Release .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } span { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } h2 { font-size: 24pt; font-family: Lato; color: var(--now-color--text-primary, black); } h3 { font-size: 18pt; font-family: Lato; color: var(--now-color--text-primary, black); } h4 { font-size: 14pt; font-family: Lato; color: var(--now-color--text-primary, black); } a { font-size: 12pt; font-family: Lato; color: var(--now-color--link-primary, #00718F); } a:hover { font-size: 12pt; color: var(--now-color--link-primary, #024F69); } a:target { font-size: 12pt; color: var(--now-color--link-primary, #032D42); } a:visited { font-size: 12pt; color: var(--now-color--link-primary, #00718f); } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } Rome 以降

Instructions .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } span { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } h2 { font-size: 24pt; font-family: Lato; color: var(--now-color--text-primary, black); } h3 { font-size: 18pt; font-family: Lato; color: var(--now-color--text-primary, black); } h4 { font-size: 14pt; font-family: Lato; color: var(--now-color--text-primary, black); } a { font-size: 12pt; font-family: Lato; color: var(--now-color--link-primary, #00718F); } a:hover { font-size: 12pt; color: var(--now-color--link-primary, #024F69); } a:target { font-size: 12pt; color: var(--now-color--link-primary, #032D42); } a:visited { font-size: 12pt; color: var(--now-color--link-primary, #00718f); } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } 注意:以下の手順は、必要に応じてアドホックベースで鍵交換を実行できるように、使用されているモジュールを特定するためのものです。

この例では OOB「SAML 2.0 Keystore_Key2048_SHA256_FIPS」[sys_certificate] レコードを使用します。 .service-now.com/sys_certificate.do?sys_id=c60ad24b732220103a5b0dd43cf6a7db" href="https://%3Cinstance%3E.service-now.com/sys_certificate.do?sys_id=c60ad24b732220103a5b0dd43cf6a7db">https:// .service-now.com/sys_certificate.do?sys_id=c60ad24b732220103a5b0dd43cf6a7db

レコードを「インスタンス A」から XML としてエクスポートし、「インスタンス B」にインポートして、何が起こるか見てみましょう。

「インスタンス A」(元のレコードを含むインスタンス) にログインします。

「SAML 2.0 Keystore_Key2048_SHA256_FIPS」[sys_certificate] レコードに移動します。

レコードを XML としてエクスポートします (ハンバーガーアイコンをクリックし、[エクスポート]、[XML] の順に選択します)。

「インスタンス B」(レコードのインポート先のインスタンス) にログインします。

ステップ 3 でエクスポートした XML をインポートします ([sys_certificate] リストビューに移動し、任意の列ヘッダーを右クリックして、[XML のインポート] を選択します)。

インポートされたレコードに移動し、「ストア/証明書の検証」を試みます。password2 値を復号化できないため、検証に失敗したことを示すエラーが返されます。

暗号化モジュールの検索 Password2 フィールドは暗号化モジュールキーで暗号化されるため、まず使用されている暗号化モジュールを見つける必要があります。

「インスタンス A」(元のレコードを含むインスタンス) にログインします。

「SAML 2.0 Keystore_Key2048_SHA256_FIPS」[sys_certificate] レコードに移動します。

[XML を表示] を実行し、[key_store_password] フィールドの最初の部分 (これは password2 フィールド) をメモします。

﷞﷟﷒ 073a92dcdb9f011084665e92f39619ea ﷬﷔1﷬﷭b4MNzaX9JbsdsPqzYqePMA==3hMXs266k_ooquFUAAoEZ89AU2V_pmU=﷮﷯ ステップ 3 の値は、password2 フィールドの暗号化に使用されるモジュールキー [sys_kmf_module_key] の「sys_id」です。 " href="https://instance_name.service-now.com/sys_kmf_module_key_list.do?sysparm_query=sys_id%3D%3Csys_id_from_step_2%3E">https://instanceA.service-now.com/sys_kmf_module_key_list.do?sysparm_query=sys_id=

モジュールキーレコードの「暗号化モジュール」値 (この場合は「com_glide_certificates_glideencrypter」) を書き留めます。これはリソース交換を使用してエクスポートします。

KMF リソース交換 - KMF モジュールキーのエクスポート 元のレコードの password2 フィールドの暗号化に使用される暗号化モジュールがわかったので、KMF リソース交換を開始してキーをターゲットインスタンスに送信する必要があります。

注意:この手順を実行するには、「sn_kmf.cryptographic_manager」ロール (KMF アドミンによって付与される必要があります) が必要であり、ロールを昇格させます。

「インスタンス B」(レコードのインポート先のインスタンス) にログインします。

「リソース交換>要求>キー管理」に移動します。

[新規] をクリックし、フォームに記入して [要求を送信] をクリックします。

交換頻度: アドホック (1回限りの交換を行っています) ソースインスタンス Sys ID: これは、「インスタンス A」(元のレコードを含むインスタンス) の「stats.do」から取得できます。 ソースインスタンスホスト: instanceA.service-now.com 暗号化仕様: com_glide_certificates_glideencrypter (これは、「暗号化モジュールを見つける」のステップ5の結果によって異なる場合があります)

これで、「ステータス」が「要求送信済み」の交換要求レコードが表示されます。

「インスタンス A」(元のレコードを含むインスタンス) にログインします。

「リソース交換>要求>キー管理」に移動します。ステップ 3 で作成された「ステータス」が「承認待ち」のレコードが表示されます。

レコードを開き、[ステータス] を [要求の承認済み] に変更して更新します。鍵の交換まで数分待ちます。

「インスタンス B」で、インポートされた XML レコードに移動すると、正常に「ストア/証明書を検証」できるはずです。 Related Links .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } span { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } h2 { font-size: 24pt; font-family: Lato; color: var(--now-color--text-primary, black); } h3 { font-size: 18pt; font-family: Lato; color: var(--now-color--text-primary, black); } h4 { font-size: 14pt; font-family: Lato; color: var(--now-color--text-primary, black); } a { font-size: 12pt; font-family: Lato; color: var(--now-color--link-primary, #00718F); } a:hover { font-size: 12pt; color: var(--now-color--link-primary, #024F69); } a:target { font-size: 12pt; color: var(--now-color--link-primary, #032D42); } a:visited { font-size: 12pt; color: var(--now-color--link-primary, #00718f); } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } KMF による Password2 暗号化

KMF ロール

KMF リソース交換

鍵交換の構成