信頼のルート構成の変更

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む2読むのに数分

    • 信頼のルート (ROT) を使用するように変更することで、ビルド証明書 (既定) に依存する ServiceNow 代わりに、独自の証明書を信頼して使用します。 ServiceNow スクリプト インクルード、ビジネス ルールなどのコンポーネントは、ビルド時にビルド時キーを使用して ServiceNow 署名されます (検証証明書はビルド証明書です ServiceNow )。

    信頼のルートを変える

    これらのレコードの署名の信頼のルートを変更するには、信頼のルートの変更プロセスに従う必要があります。
    • 提供された証明書を使用して、提供されたすべてのコンポーネントの新しい署名セットを生成して移行します。
    • スケジュール設定済みジョブを使用して信頼のルートプロパティを無効にします。
    これらのステップの詳細については、「」およびServiceNow Root of Trust の無効化を参照してください顧客証明書を使用するための署名の移行

    署名の生成と検証プロセスへの影響

    既定では、コード署名ビルド証明書は署名検証プロセス中に信頼されます。この変更を行うと、インスタンスは独自のコード署名証明書からの署名のみを受け入れます。

    ROT構成の変更前と変更後
    FALSE に設定された ROT プロパティ (デフォルト) ROT プロパティを true に設定
    • 検証時には、ビルド証明書を含む署名が信頼されます。
    • 署名時にキーを指定しない場合、インスタンス署名キーがバックアップキーとして使用されます。
    • 署名 REST エンドポイント api/sn_kmf/signature/certificates は、インスタンスに存在する他の証明書とともにコード署名ビルド証明書を返します ServiceNow
    • 検証時に、ビルド証明書を含む署名は信頼されません。
    • 署名時にキーを指定しないと、署名は実行されません。
    • 署名 REST エンドポイント api/sn_kmf/signature/certificates では ServiceNow 、ビルド証明書 (San Diego、Vancouver PKI、W PKI) は除外されます。

    MID Server への影響

    ROT プロパティが false に設定されている場合
    ROT プロパティをデフォルト値 (false) のままにすることを選択した場合、MID Server に影響はありません。
    コード署名が有効で、ROT プロパティが true に設定されている場合
    • isTrusted() API は、ビルド証明書を含む署名に対して false を返します。
    • isTrusted() API は、証明書を使用した署名に対して true を返します。
    • 証明書の REST API 呼び出しでは、ビルド証明書は除外されます。
    • 署名検証失敗メッセージなど、MID Server の問題がログに表示される場合があります。