署名ジョブを実行して、署名を顧客の信頼のルート (ROT) に移行します。
始める前に
必要なロール:admin、security_admin、および sn_kmf.cryptographic_manager
コード署名は、本番インスタンスと信頼できるインスタンスで有効にする必要があります。com.snc.kmf.signature.validation.flag システムプロパティが true に設定されていることを確認することで確認できます。
この手順は、インスタンスの顧客の信頼のルート (ROT) を変更する一連の手順の一部です。このプロセスの概要については、「信頼のルート構成の変更」を参照してください。
手順
-
本番インスタンスにログインします。
-
移動先 .
-
[ ROT - 顧客証明書スケジュールを使用して署名を移行するためのレコードの更新セットを生成 (Generate Update set of records to migrate signature using customer certificate)] ジョブスケジュールを見つけて開きます。
-
フォームの下部にある [今すぐ実行] を選択します。
-
移動先 .
-
プロンプトで、[ 署名ジョブ] を選択します。
-
[ 署名ジョブ] フォームで、必要に応じてフィールドに入力します。
| フィールド |
値 |
| 名前 |
ジョブの一意の名前を作成します。 |
| タイプ |
[更新セットに署名する (Sign Update Set)] を選択します。 |
| テーブル |
これまでのステップで作成した更新セットを選択します。更新セットの名前は change_root_of_trust_updateSet で始まります。 |
-
フォーム ヘッダーを右クリックし、[ 保存 ] を選択してこのレコードを保存します。
-
フォームヘッダーを右クリックし、 をクリックして、このレコードを XML ファイルとしてエクスポートします。
-
信頼できるインスタンスにログインします。
-
移動先 .
-
リストヘッダーを右クリックし、[ XML のインポート] を選択します。
-
[XML のインポート ] フォームで、[ファイルの選択] を選択し、前の手順でダウンロードした XML ファイル を選択します。
-
[アップロード] を選択します。
-
リストから、インポートされたセキュリティジョブを開きます。
-
[ コード署名ジョブを本番環境にエクスポート] を選択します。
このアクションにより、ジョブが署名され、本番インスタンスにインポートできる新しい更新セットに配置されます。
重要: ジョブに署名した後、10 分以内に次の手順を実行する必要があります。この期間を超えた場合は、これらの手順を使用してジョブに再署名すると、別の署名済み更新セットが作成されます。
-
移動先 .
-
これまでの手順で作成した更新セットを見つけます。
名前は SIGN_UPDATE_SET_updateSet で始まります。
-
[XML のエクスポート] を選択して、更新セットを XML ファイルとして エクスポート します。
-
本番インスタンスにログインします。
-
移動先 .
-
リストの一番下で、[ XML から更新セットをインポート] を選択します。
-
[XML のインポート ] フォームで、[ファイルの選択] を選択し、前の手順でダウンロードした XML ファイル を選択します。
-
[アップロード] を選択します。
-
移動先 をクリックし、 SIGN_UPDATE_SET_updateSetで始まる更新セットを開きます。
-
[更新セットのプレビュー] を選択します。
-
プレビューが完了したら、[ 更新セットのコミット] を選択します。
-
移動先 .
-
インポートされたセキュリティジョブを開きます。
-
[ 開始 ] を選択してセキュリティ ジョブを実行します。
セキュリティ ジョブが完了すると、ジョブのステータスに関する情報が [サマリー ] フィールドに表示されます。
ジョブが [完了] ステータスの場合、更新セットレコードのすべての署名で、顧客が提供した証明書を検証証明書として使用する必要があります。これは、KMF 署名レコード [sn_kmf_record_signature] テーブルで確認できます。
次のタスク
信頼のルートの構成プロセスを続行するには、「」を参照してください ServiceNow Root of Trust の無効化。