Konfigurieren Sie den vom Kunden bereitgestellten Schlüssel, und laden Sie ihn hoch

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Sie können Ihren eigenen vom Kunden bereitgestellten Schlüssel anstelle der vom System generierten Schlüssel von ServiceNow® verwenden.

    Vorbereitungen

    Erforderliche Rolle: security_admin, sn_kmf.cryptographic_manager

    Wenn Sie keine eigenen Schlüssel angeben, müssen Sie dieses Verfahren nicht ausführen. Um ein kryptografisches Modul mit den Schlüsseln ServiceNow® zu erstellen, wechseln Sie zu Erstellen Sie ein kryptografisches Modul oder Erstellen Sie ein kryptografisches Modul für die Verschlüsselung auf Spaltenebene.

    Hinweis:
    Dieses Verfahren gilt nur für die Funktionalität Verschlüsselung auf Spaltenebene Enterprise. Weitere Informationen finden Sie unter Aktivieren Sie Column Level Encryption Enterprise.
    Wichtig:
    Sie können einen vom Kunden bereitgestellten Schlüssel nicht widerrufen.

    Prozedur

    1. Navigieren zu Alle > Systemsicherheit > Einstellungen für Feldverschlüsselung und stellen Sie sicher, dass Vom Kunden bereitgestellte Schlüssel ausgewählt ist.
      Abbildung : 1. Schlüsselquellenauswahl
      Auswahlformular für Feldverschlüsselungseinstellungen Schlüsselquelle
    2. Wählen Sie Absenden.
    3. Zurück zu Systemsicherheit > Feldverschlüsselungsmodule > > Neu erstellen.
      Abbildung : 2. Erstellen Sie ein neues kryptografisches Modul
      Verschlüsselung auf Spaltenebene Kryptomodul-Formular erstellen
    4. Füllen Sie das Formular „Kryptografisches Modul“ wie folgt aus:
      Tabelle : 1. Felder des kryptografischen Moduls
      Feld Beschreibung
      Modulname Geben Sie einen Namen für das Modul ein.
      Krypto-Spezifikationsvorlage Die kryptografische Standardvorlage ist ausgewählt.
      Name Wird basierend auf dem Modulnamen automatisch ausgefüllt und dem Namen wird der Bereich vorangestellt, um sicherzustellen, welche Anwendung angewendet wird. In diesem Fall wird der globale Bereich angewendet.
      Lebenszyklusstatus kryptografisches Modul Auswahlvorgang Veröffentlicht , um das Krypto-Modul zu aktivieren.
      Übergeordnetes kryptografisches Modul

      Das übergeordnete Modul column_level_encryption wird automatisch ausgewählt, wenn vom Kunden bereitgestellte Schlüssel und Verschlüsselungsmodule verwendet werden.
    5. Wählen Sie Absenden.
    6. Wählen Sie das neu erstellte kryptografische Modul aus der Tabelle aus.
      Wählen Sie in der zugehörigen Liste „Krypto-Spezifikationen “ den automatisch generierten Schlüsselalias mit dem AES 256 CDB-Algorithmus aus.

      Das System füllt den kryptografischen Zweck und den Algorithmus für CLE automatisch aus und springt zur Phase „ Schlüsselursprung“.

    7. Beachten Sie, dass der vom Upload-Kunden bereitgestellte Schlüssel der Ursprung ist und der Schlüsselalias bereits ausgefüllt ist.
      Abbildung : 3. Schlüsselursprung
      Krypto-Spezifikationsschlüsselursprung von CSK
    8. Wählen Sie Weiter aus, um zur Phase „Schlüsselerstellung“ zu wechseln.
      Es gibt zwei Links:
      • Schlüssel mitSchlüssel herunterladen lädt den Schlüssel in einer ZIP-Datei herunter, die ein Importtoken und ein Zertifikat für den öffentlichen Schlüssel ( .PEM -Datei) enthält. Verwenden Sie das Importtoken, um das erfolgreiche Key Wrapping gemäß der Sicherheitsspezifikation für die Instanz zu überprüfen. Verwenden Sie die PEM -Datei des Zertifikats des öffentlichen Schlüssels, um den vom Kunden bereitgestellten Schlüssel sicher zu verpacken, bevor Sie ihn zusammen mit dem Token hochladen.
      • Vom Kunden bereitgestellten Schlüssel hochladen öffnet den Dateibrowser, um das Token und den verschlüsselten Schlüssel auszuwählen, den Sie umschlossen haben.
      Abbildung : 4. Upload-Links für Schlüsselerstellung
    9. Wählen Sie Schlüssel zum Umschlüsseln herunterladen aus, um das Token zu speichern.
      Speichern Sie das Token an demselben Zielspeicherort, an dem der Schlüssel in Ihrem System gespeichert ist. Benennen Sie das heruntergeladene Token nicht um.
    10. Führen Sie den Befehl BYOK auf einem Terminal aus, um den Schlüssel zu umbrechen.
      Weitere Informationen finden Sie unter Umschließen Sie Ihren vom Kunden bereitgestellten Schlüssel.
    11. Wählen Sie „Vom Kunden bereitgestellten Schlüssel hochladen“ aus.
    12. Wählen Sie Durchsuchen aus, um die beiden Dateien auszuwählen, den umschlossenen Schlüssel und die Token-Datei.
      Im Fenster „Anhänge“ werden die beiden Dateien angezeigt.
      Abbildung : 5. Upload von umschlossenen Schlüsselanhängen
      Fenster zum Hochladen von Anhängen
      Wählen Sie eine Datei aus, die entfernt werden soll, und laden Sie sie bei Bedarf erneut hoch.
    13. Wählen Sie OK.
      Sie kehren zum Bildschirm „Kryptografisches Modul“ zurück. Bei einem erfolgreichen Upload des Kundenschlüssels wird eine Bestätigungsmeldung angezeigt. Der Schlüssel wird auch in der zugehörigen Liste „Modulschlüssel“ aufgeführt.
      Abbildung : 6. Bestätigung des Schlüssel-Uploads
      Tabelle „Modulschlüssel“ mit hochgeladenem vom Kunden bereitgestellten Schlüssel.

    Nächste Maßnahme

    Nachdem Sie die Konfiguration Ihres kryptografischen Moduls mit dem vom Kunden bereitgestellten Schlüssel abgeschlossen haben, fahren Sie mit fort Erstellen Sie eine Modulzugriffsrichtlinie