SAML 用の自己署名 BCFKS キーストアの作成

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:5分

    • Multi-Provider SSO プラグイン内の SAML 署名および暗号化操作で使用する、FIPS 140-2 準拠の自己署名 BCFKS キーストアを生成します。

    始める前に

    必要なロール:sso_config_admin、business_rule_admin、script_include_admin

    次の操作を実行します。

    • Java をマシンにインストールし、ターミナル (または Windows マシンで実行している場合は「コマンド プロンプト」) でアクセスできるキー ツールのコマンド ライン ツールをインストールします。
    • ID フェデレーションおよびシングルサインオンの実装に関する連邦セキュリティ要件を満たす、FIPS 承認済みの暗号化アルゴリズム (RSA 2048 ビット以上と SHA-256 の組み合わせなど) を使用してキーストアを作成するには、次の手順を実行します。

    手順

    1. FIPS プロバイダーライブラリをダウンロードします。
      注:

      最新バージョン のbc-fips-2.1.0.jarを使用してください。必ず最新バージョンを使用してください。

    2. FIPS 準拠のキーストアと証明書を生成します。
      1. 次のキーツールコマンドを実行して、自己署名証明書とキーストアを生成します。
        表 : 1. キーツールコマンド
        Linux/macOS で実行 Windows で実行: 
        keytool -genkeypair \
  -providername BCFIPS \
  -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider \
  -providerpath <path_to_bc-fips-<version>>.jar \
  -alias <key_alias> \
  -keyalg RSA \
  -keysize <key_size> \
  -keystore <keystore_name>.bcfks \
  -validity <validity> \
  -storetype BCFKS \
  -storepass <keystore_password>
        		 
        keytool -genkeypair ^
-providername BCFIPS ^
-providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider ^
-providerpath <path_to_bc-fips-<version>>.jar ^
-alias <key_alias> ^
-keyalg RSA ^
-keysize <key_size> ^
-keystore <keystore_name>.bcfks ^
-validity <validity> ^
-storetype BCFKS ^
-storepass <keystore_password>
      2. プレースホルダー (<...>) を適切な値に置き換えます。
        • <path_to_bc-fips-<version>>.jar:bc-fips-<version へのパス>.jar
        • <key_alias>:キーペアのエイリアス
        • <key_size>:2048 または 4096
        • <keystore_name>.bcfks:キーストアの目的のファイル名
        • <validity>:有効期限 (日数)
        • <keystore_password>:キーストアのパスワード
      3. プロンプトに従って、証明書の追加の DN (識別名) の詳細を入力します。
        注:
        キー (エイリアス) のパスワードの入力を求められたら、Enter キーまたは Return キーを押して、キーストアに使用したものと同じパスワードを使用します。別のパスワードを指定しないでください。
      4. キーエイリアスとキーストアパスワードを安全に保存します。
        次の場合は、次の認証情報を入力します。
        • このキーストアの sys_certificate レコードを作成しています。
        • 署名キーまたは暗号化キーのエイリアスとパスワードを提供するように SAML ID プロバイダーを設定します。
        注:
        キーのパスワードは、作成時に指定したキーストアのパスワードと同じです。SAML ID プロバイダーの署名または暗号化を設定するときには、同じパスワードを使用します。
    3. 証明書チェーンを抽出します。
      表 : 2. キーツールコマンド
      Linux/macOS で実行 Windows で実行: 
      keytool -exportcert \
  -provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider \
  -providerpath <path_to_bc-fips-<version>>.jar \
  -storetype BCFKS \
  -keystore <keystore_name>.bcfks \
  -storepass <keystore_password> \
  -alias <key_alias> \
  -rfc \
  -file <file_name>.cer
      		 
      keytool -exportcert ^
-provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider ^
-providerpath <path_to_bc-fips-<version>>.jar ^
-storetype BCFKS ^
-keystore <keystore_name>.bcfks ^
-storepass <keystore_password> ^
-alias <key_alias> ^
-rfc ^
-file <file_name>.cer
      プレースホルダー (<...>) を適切な値に置き換えます。
      • <path_to_bc-fips-<version>>.jar:bc-fips-<version へのパス>.jar
      • <keystore_name>.bcfks:前の手順で指定されたキーストアファイル名
      • <keystore_password>:前のステップで指定されたキーストアパスワード
      • <key_alias>:前のステップで指定されたキーエイリアス
      • <file_name>.cer:抽出された証明書の目的の PEM 形式のファイル名
    4. sys_certificateテーブルにレコードを作成します。
      1. ServiceNow AI Platform にログインします。
      2. 移動先 すべて > 複数プロバイダー SSO > アドミニストレーション > x509 証明書.
      3. [ 新規 ] をクリックしてレコードを作成します。
      4. [タイプ] として [BCFKS キーストア ] を選択します。
      5. 生成された BCFKS キーストアファイル (<keystore_name>.bcfks) を添付します。
        注:
        証明書の有効期限通知を設定するには、[ 有効期限切れ時に通知 ] と [有効期限切れ時に通知するグループ] を使用し、[有効 期限切れまでの日数で警告] と [ 頻度] を使用して通知のタイミングを設定します。
      6. キーストアの作成時に指定したキーストアパスワードなど、その他の必須フィールドに入力します。
      7. [ ストア/証明書を検証 ] 関連リンクをクリックして、キーストアが有効であることを確認します。
      8. このレコードの sys_id をコピーします。