Opérations de gestion des clés

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 14 minutes de lecture

    • Le sous-module Opérations de gestion des clés permet d’afficher et de gérer toutes les clés de chiffrement utilisées avec ServiceNow Chiffrement dans le cloud.

    États du cycle de vie de la clé

    Il n’y a qu’une seule clé active dans le système à un moment donné. Lorsque vous sélectionnez une clé, vous accédez à l’activité de la clé sélectionnée, telle que les clés pivotées ou retirées et l’horodatage correspondant.

    L’état du cycle de vie de la clé est mis à jour en fonction de l’opération de gestion des clés effectuée.

    Affiche les états clés du cycle de vie mis à jour.

    Voir Rotation d’une clé gérée par ServiceNow ou Rotation d’une clé gérée par le client pour plus de détails.

    Remarque :
    Le processus de rotation des clés peut prendre jusqu’à 20 minutes.

    Rotation d’une clé gérée par ServiceNow

    Faites pivoter la clé gérée active Chiffrement dans le cloud ServiceNow .

    Avant de commencer

    Rôles requis : kmf_admin, kmf_cryptomanager

    Important :
    Si vous utilisez des clés gérées par le client, reportez-vous à la section Rotation d’une clé gérée par le client.

    Procédure

    1. Accédez à la Tous > Gestion de clé de chiffrement dans le cloud > Opérations de gestion des clés.
      La Chiffrement dans le cloud liste Métadonnées clés se charge. Toutes les clés utilisées dans votre instance sont répertoriées. Une seule clé peut être active à la fois.

      Si vous Chiffrement dans le cloud accédez au module pour la première fois, les entrées de clés seront disponibles après une rotation de clés initiale. Une ServiceNow clé gérée est la clé par défaut dans le système.

    2. Sélectionnez la clé active dans la table.
      La table Définition de clé s’affiche avec des informations générales sur votre ServiceNow clé générée.
    3. Sélectionnez le bouton Faire pivoter la clé .
      Une notification s’affiche avec la possibilité de continuer la rotation des clés ou d’annuler l’opération.
    4. Sélectionnez OK pour faire pivoter la clé.
      Un message de confirmation s’affiche en haut de la page Définition de clé.
    5. Revenez à l’écran Opérations de gestion des clés pour actualiser la table Métadonnées de la Chiffrement dans le cloud clé.
      Les entrées sont répertoriées pour la clé active actuelle et la clé qui est générée pour tourner à la place de la clé active actuelle. Consultez États du cycle de vie de la clé Key Management Framework les différents états disponibles.

      La clé active est répertoriée avec la version de clé 0 et la clé générée a la version 1.

    6. Ouvrez l’entrée de la clé d’origine pour afficher les transactions de gestion des clés.
      Pour plus d’informations, consultez Transactions de gestion des clés pour plus d’informations.
      La clé précédemment active, version 0, a été mise à jour vers l’état du cycle de vie de la clé Tourné et la nouvelle clé, version 1 , est Active.

    Préparer votre clé gérée par le client

    Suivez ces étapes pour préparer votre clé gérée par le client en vue de son chargement dans votre instance.

    Avant de commencer

    Rôles requis : sn_kmf.cryptographic_manager, sn_kmf.admin

    Pourquoi et quand exécuter cette tâche

    Pour une clé gérée par le client, vous pouvez utiliser n’importe quelle bibliothèque cryptographique ou HSM pour générer votre clé. Cette clé doit être une clé AES 256 bits et être encapsulée par un certificat d’encapsulation Cloud Encryption avec un schéma de chiffrement RSAES_OAEP_SHA_256.
    Remarque :

    Si vous choisissez d’utiliser l’outil de chiffrement OpenSSL pour générer votre clé, la version OpenSSL doit être la version 1.1.1x ou ultérieure.

    Si vous créez et encapsulez votre clé gérée par le client à l’aide Windowsde , vous devez générer la clé encapsulée via les applications de prise en charge du shell Bash telles que Git Bash.

    Procédure

    1. Générez une valeur aléatoire à utiliser comme clé symétrique AES-256 bits à l’aide d’OpenSSL.

      Pour des raisons de compatibilité, votre clé symétrique doit avoir les attributs suivants :

      Attribut Valeur
      Type de clé Clé symétrique basée sur l’algorithme AES (Advanced Encryption Standard).
      Taille de la clé 256 bits (32 octets)
      Besoin d’encapsulation de clé
      • Algorithme de chiffrement RSA
      • Remplissage de chiffrement asymétrique optimal (OAEP)
      • Fonction de hachage SHA-256 (RSAES_OAEP_SHA_256)
      • Encodé à l’aide de l’algorithme Base64
    2. Enregistrez la clé dans un fichier similaire à « openssl rand 32 > plaintext_key.bin ».
      Important :
      Enregistrez ce fichier en toute sécurité pour référence future. Cette clé est encapsulée avec la clé publique pour le chargement.
    3. Extrayez la clé publique du fichier de certificat encapsulé téléchargé de votre instance : 
      openssl x509 -pubkey -noout -in wrapping_cert.pem > public_key.pem
      Remarque :
      Reportez-vous à la section pour plus d’informations afin de télécharger le certificat d’encapsulation.
    4. Encapsulez la clé générée avec la clé publique téléchargée avec le certificat d’encapsulation à l’aide de l’algorithme RSAES_OAEP_SHA_256 : 
      cat plaintext_key.bin | openssl pkeyutl -encrypt -inkey public_key.pem -pubin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256 | openssl base64 -A -out wrapped_key.txt
      Un fichier spécifié sur cette commande contient une clé encapsulée gérée par le client qui peut être fournie à SN pour le processus CMK.

    Basculer entre les clés ServiceNow et les clés gérées par le client

    Basculez entre une clé gérée par le client ou une clé gérée pour une ServiceNow utilisation dans ServiceNow Chiffrement dans le cloud.

    Par défaut, votre instance est configurée pour utiliser ServiceNow des clés gérées, et ServiceNow la génération de la clé de chiffrement est active. Toutefois, les administrateurs peuvent choisir d’utiliser des clés gérées par le client. Ils peuvent également choisir de revenir aux ServiceNow clés gérées.

    Rotation d’une clé gérée par le client

    Faites pivoter votre clé gérée par le client vers votre instance une fois que vous avez encapsulé la clé gérée par le client pour Chiffrement dans le cloud.

    Avant de commencer

    Rôles requis : kmf_admin, kmf_cryptomanager

    Procédure

    1. Accédez à la Tous > Gestion de clé de chiffrement dans le cloud > Opérations de gestion des clés.
      La liste Métadonnées de clé de chiffrement dans le cloud se charge. Toutes les clés qui ont été utilisées dans votre instance sont répertoriées.
    2. Dans la liste Métadonnées de clé de chiffrement dans le cloud , ouvrez l’enregistrement de votre clé active.
      Si vous avez plusieurs clés, sélectionnez celle dont l’état du cycle de vie de la clé est Actif. Il n’y a qu’une seule clé active sur votre instance.
    3. Dans l’enregistrement de définition de clé, sélectionnez le bouton Faire pivoter la clé .
    4. Dans la fenêtre Télécharger la clé gérée par le client , effectuez les étapes répertoriées.
      1. Sélectionnez Télécharger le certificat d’encapsulation.
        La public_certificate.... Le fichier zip est téléchargé sur votre ordinateur local et est utilisé pour encapsuler votre clé gérée par le client.
        Avertissement :
        Évitez les problèmes potentiels liés aux certificats en téléchargeant le certificat d’encapsulation chaque fois que vous effectuez une rotation ou basculez vers une clé gérée par le client.
      2. Sélectionnez Parcourir pour charger votre clé gérée par le client, puis recherchez et sélectionnez votre clé de chiffrement encapsulée.
        Pour choisir un autre fichier, sélectionnez-le, puis sélectionnez Supprimer.
      3. Fermez la fenêtre Pièces jointes.
      4. Sélectionnez OK pour charger votre clé.
        Si la clé est au bon format, un message de confirmation s’affiche, sinon un message d’erreur s’affiche. Le fichier de clé est joint à l’enregistrement de définition de clé.

        Dans la table Transactions de gestion des clés, les étapes de téléchargement et de chargement des clés sont répertoriées. Consultez Transactions de gestion des clés pour plus de détails sur les étapes de demande.

    5. Accédez à la Tous > Gestion de clé de chiffrement dans le cloud > Opérations de gestion des clés pour afficher la liste des clés.
      Dans la liste des clés, vous pouvez voir un nouvel enregistrement de votre clé gérée par le client. Cette nouvelle clé a une valeur d’origine de customer_supplied et est à l’état Actif . Votre clé précédente a l’état Pivoté .

    Basculer vers une clé gérée par le client

    Utilisez votre clé gérée par le client pour ServiceNow Chiffrement dans le cloud.

    Avant de commencer

    Rôle requis : kmf_admin ou kmf_cryptomanager

    Pour passer à une clé gérée par le client, vous devez disposer d’une clé gérée par le client encapsulée prête à être téléchargée dans le cadre de ces étapes. Pour en savoir plus sur la préparation de cette clé en vue du chargement, reportez-vous à la section Préparer votre clé gérée par le client. Après avoir téléchargé votre clé, ce processus lancera une rotation de clés vers votre nouvelle clé.

    Procédure

    1. Accédez à la Tous > Gestion de clé de chiffrement dans le cloud > Opérations de gestion des clés.
    2. Dans la liste Métadonnées de clé de chiffrement dans le cloud , ouvrez l’enregistrement de votre clé active.
      Si vous avez plusieurs clés, sélectionnez celle dont l’état du cycle de vie de la clé est Actif. Il n’y a qu’une seule clé active sur votre instance.
    3. Dans la section Liens connexes du formulaire, sélectionnez le lien Basculer vers la clé gérée par le client .
    4. Dans la boîte de dialogue Basculer vers la clé gérée par le client , sélectionnez le bouton Télécharger la clé gérée .
    5. Dans la boîte de dialogue Télécharger la clé gérée par le client , effectuez les étapes répertoriées.
      1. Sélectionnez Télécharger le certificat d’encapsulation.
        Avertissement :
        Évitez les problèmes potentiels liés aux certificats en téléchargeant le certificat d’encapsulation chaque fois que vous effectuez une rotation ou basculez vers une clé gérée par le client.
      2. Sélectionnez Parcourir, puis suivez les instructions pour sélectionner et télécharger votre clé à partir de votre appareil.
      3. Sélectionnez Basculer vers la clé gérée par le client.
      Une demande est générée par l’instance pour passer à votre clé gérée par le client. Dans le formulaire actuel, vous pouvez voir que l’état du cycle de vie de la clé active d’origine est passé à Tournée.
    6. Accédez à la Tous > Gestion de clé de chiffrement dans le cloud > Opérations de gestion des clés pour afficher la liste des clés.
      Dans la liste des clés, vous pouvez voir un nouvel enregistrement de votre clé gérée par le client. Cette nouvelle clé a une valeur d’origine de customer_supplied et est à l’état Actif .

    Résultats

    Votre instance utilise maintenant votre clé gérée par le client pour ServiceNow Chiffrement dans le cloud.

    Important :
    Assurez-vous qu’une copie de votre clé de chiffrement est toujours disponible dans un emplacement sécurisé pour les opérations de gestion des clés. Sans cette clé, votre instance risque d’être inaccessible.

    Basculer vers une clé gérée par ServiceNow

    Passer d’une clé gérée par le client à une clé gérée pour ServiceNow Chiffrement dans le cloud.

    Avant de commencer

    Rôle requis : kmf_admin ou kmf_cryptomanager

    Procédure

    1. Accédez à la Tous > Gestion de clé de chiffrement dans le cloud > Opérations de gestion des clés.
    2. Dans la liste Métadonnées de clé de chiffrement dans le cloud , ouvrez l’enregistrement de votre clé active.
      Si vous avez plusieurs clés, sélectionnez celle dont l’état du cycle de vie de la clé est Actif. Il n’y a qu’une seule clé active sur votre instance.
    3. Dans la section Liens connexes du formulaire, sélectionnez le lien Basculer vers la clé gérée par ServiceNow .
    4. Dans la boîte de dialogue Basculer vers la clé gérée par ServiceNow , sélectionnez le bouton Basculer vers la clé gérée par ServiceNow .
      Une demande est générée par l’instance pour passer à une ServiceNow clé gérée. Dans le formulaire actuel, vous pouvez voir que l’état du cycle de vie de la clé active d’origine est passé à Tournée.
    5. Accédez à la Tous > Gestion de clé de chiffrement dans le cloud > Opérations de gestion des clés pour afficher la liste des clés.
      Dans la liste des clés, vous pouvez voir un nouvel enregistrement pour une ServiceNow clé gérée. Cette nouvelle clé a une valeur d’origineServiceNow et est à l’état Actif .

    Planifier la rotation de clés

    Définissez un calendrier pour la rotation automatique de vos ServiceNow clés gérées. Ce processus met automatiquement hors service une clé de chiffrement et remplace l’ancienne clé par une clé cryptographique nouvellement générée. Si vous utilisez une clé gérée par le client, ce calendrier peut vous rappeler de faire pivoter manuellement vos clés personnalisées.

    Avant de commencer

    Rôle requis : admin

    Procédure

    1. Accédez à la Tous > Gestion de clé de chiffrement dans le cloud > Paramètres de rotations de clés planifiées.
    2. Cochez la case Activer la rotation de clés planifiée .
    3. Renseignez les champs restants en fonction de vos besoins professionnels.
      Tableau 1. Paramètres de rotations de clés planifiées
      Champ Description
      Nombre de mois entre les rotations de clés (maximum de 60 mois) Nombre de mois entre les rotations de clés. Cette valeur est 12 par défaut et peut avoir un maximum de 60 mois.
      Jour de la semaine pour effectuer la rotation de clés Jour de la semaine où la rotation de clés est effectuée.
      Heure de la journée à laquelle effectuer la rotation de clés Heure de la journée à laquelle la rotation de clés est effectuée.
      Date et heure de la prochaine rotation de clés Date et heure de la prochaine rotation de clés planifiée. Cette valeur n’est pas modifiable directement et est automatiquement calculée en fonction de vos choix.
      Nombre de jour avant la rotation de clés pour envoyer un rappel (maximum de 15 jours) Nombre de jours avant la date de votre rotation de clés pour que votre instance envoie des notifications.
      Les notifications par e-mail sont envoyées à la liste suivante de vos administrateurs de sécurité approuvés : Liste des utilisateurs qui reçoivent des notifications pour la rotation des clés. L’administrateur système figure sur cette liste par défaut.
    4. Sélectionnez Soumettre.
      Après avoir sélectionné Soumettre, une notification s’affiche en haut du formulaire. Les notifications confirment votre rotation de clés et votre calendrier de notification.
      Avertissement :

      Chaque rotation de clés planifiée a une signature unique, qui garantit l’intégrité d’une tâche et détecte toute modification non autorisée. La signature d’une tâche planifiée est unique sur chaque instance. Lors du clonage d’une tâche de rotation de clés planifiée d’une instance source A vers une instance cible B, la tâche planifiée sur l’instance B échouera la validation de la signature. Dans ce cas, vous pouvez recréer la signature en désélectionnant puis en cochant à nouveau la case Activer la rotation de clés planifiée . Pour plus d’informations sur ce problème, consultez KB1247113.

    Retirer une clé gérée par le client

    Une fois que la fonctionnalité de retrait de clé gérée par le client est activée, une opération de retrait devient disponible sur la page Opérations de gestion de clés. Les opérations de retrait de clé et d’approbation du quorum peuvent également être gérées.

    Avant de commencer

    Rôles requis : kmf_admin, kmf_cryptomanager

    Cette section s’applique uniquement si vous disposez d’une licence Cloud Encryption Withdrawal and Resupply, un module complémentaire facultatif à Chiffrement dans le cloud.

    Procédure

    1. Accédez à la Tous > Gestion de clé de chiffrement dans le cloud > > Opérations de gestion des clés.
    2. Sélectionnez la clé gérée par le client active dans la table.
      La table Définition de clé s’affiche avec des informations générales sur votre clé client. Une fonction de retrait des touches est désormais disponible.
    3. Sélectionnez la clé de retrait pour déclencher le processus de retrait.
      Avertissement :

      Un message d’avertissement Retirer la clé s’affiche. Le retrait de la clé déclenche l’arrêt de votre instance jusqu’à ce qu’une opération de restauration soit effectuée avec la clé retirée.

      DANGER :
      Vous ne pouvez effectuer une opération de restauration qu’avec la même clé qui a été retirée. Si vous souhaitez passer à une autre clé, vous devez le faire après avoir restauré la clé qui a été retirée.

      Si la clé gérée par le client retirée n’est pas restaurée dans le délai de ServiceNow conservation des sauvegardes (voir la SOP [Standard Operating Procedure] de sauvegarde et de restauration pour plus d’informations), les sauvegardes de votre base de données d’instance ne seront plus accessibles. Les données de sauvegarde perdues de cette manière ne sont pas récupérables.

    4. Sélectionnez OK pour retirer la clé.
      Sélectionnez Annuler en cas de doute sur la fonction de retrait des clés.
      Vous êtes renvoyé à l’écran Définition de clé et un message de confirmation s’affiche.
    5. Actualisez la page Définition de clé pour afficher la demande de retrait en attente.
      Transaction de gestion des clés

      Si la politique de contrôle du quorum a été activée, le workflow d’approbation doit être effectué avec succès pour terminer le retrait de clé. Consultez Gérer le contrôle du quorum pour en savoir plus.

    Réapprovisionner une clé gérée par le client

    Une fois l’opération de retrait de clé terminée, votre clé gérée par le client doit être de nouveau fournie dans votre instance.

    Avant de commencer

    Rôle requis : kmf_admin, kmf_cryptomanager

    Remarque :
    Cette section s’applique uniquement si vous disposez d’une licence Cloud Encryption Retrait et réapprovisionnement.

    Procédure

    1. Accéder à Now Support et naviguer jusqu’à Catalogue de services > Catalogue > Gestion de l'instance > Restauration d’instance : réapprovisionner la clé gérée.
    2. Cliquez sur Demander.
    3. Dans la fenêtre Restauration d’instance - Réapprovisionner la clé gérée , sélectionnez votre instance dans la liste déroulante Sélectionner une instance .
    4. Téléchargez le certificat d’encapsulation en cliquant sur le texte du certificat d’encapsulation .
      Avertissement :
      Vous devez télécharger un nouveau certificat d’encapsulation chaque fois que vous effectuez une rotation ou chargez une clé gérée par le client.
    5. Préparez votre clé pour le chargement.
      Pour obtenir des détails sur ce processus, consultez Préparer votre clé gérée par le client.
    6. Dans la section Étape 4 , cliquez sur Parcourir et charger pour télécharger votre clé encapsulée à partir de votre appareil local.
      Une fois votre clé téléchargée, vous pouvez voir la clé sous Fichier téléchargé avec succès. Si vous devez télécharger à nouveau la clé, cliquez sur Supprimer le fichier et téléchargez à nouveau votre clé comme décrit dans les étapes précédentes.
    7. Cliquez sur la touche Rotation pour terminer le réapprovisionnement.