Migrar assinaturas para usar um certificado do cliente

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 3 min. de leitura

    • Execute um trabalho de assinatura para migrar suas assinaturas para uma raiz de confiança (ROT) do cliente.

    Antes de Iniciar

    Função necessária: admin, security_admin e sn_kmf.cryptographic_manager

    A assinatura de código deve estar habilitada em suas instâncias de produção e confiáveis. Você pode verificar se a propriedade do sistema com.snc.kmf.signature.validation.flag está definida como true.

    Este procedimento faz parte de uma série de procedimentos para mudar uma raiz de confiança (ROT) do cliente em suas instâncias. Para obter uma visão geral desse processo, consulte Mudar a configuração da raiz de confiança.

    Procedimento

    1. Faça login na sua instância de produção.
    2. Navegar até Tudo > Definição do Sistema > Trabalhos programados.
    3. Encontre e abra o trabalho programado ROT - Gerar conjunto de atualizações de registros para migrar assinaturas usando o certificado do cliente.
    4. Na parte inferior do formulário, selecione Executar agora.
    5. Navegar até Tudo > Segurança do sistema > Trabalhos de segurança > Criar novo(a).
    6. No prompt, selecione Trabalho de assinatura.
    7. No formulário Trabalho de assinatura, preencha os campos conforme necessário.
      Campo Valor
      Nome Crie um nome exclusivo para o trabalho.
      Tipo Selecione Assinar Update Set.
      Tabela Selecione o conjunto de atualizações criado nas etapas anteriores. O conjunto de atualizações tem um nome que começa com change_root_of_trust_updateSet.
    8. Clique com o botão direito do mouse no cabeçalho do formulário e selecione Salvar para salvar este registro.
    9. Clique com o botão direito do mouse no cabeçalho do formulário e selecione Exportar > XML (Este registro) para exportar este registro como um arquivo XML.
    10. Faça login em sua instância confiável.
    11. Navegar até Tudo > Segurança do sistema > Trabalhos de segurança > Tudo.
    12. Clique com o botão direito do mouse no cabeçalho da lista e selecione Importar XML.
    13. No formulário Importar XML, selecione Escolher arquivo e selecione o arquivo XML que você baixou nas etapas anteriores.
    14. Selecione Carregar.
    15. Na lista, abra o trabalho de segurança importado.
    16. Selecione Exportar trabalho de assinatura de código para produção.
      Esta ação assina o trabalho e o coloca em um novo conjunto de atualizações que você pode importar para sua instância de produção.
      Importante:
      Depois de assinar o trabalho, você deve executar as próximas etapas em 10 minutos. Se você exceder esse período de tempo, poderá assinar novamente o trabalho usando essas etapas, o que criará outro conjunto de atualizações assinado.
    17. Navegar até Tudo > Conjuntos de atualização do sistema > Conjuntos para atualização locais.
    18. Encontre o conjunto de atualizações criado nas etapas anteriores.
      O nome começa com SIGN_UPDATE_SET_updateSet.
    19. Selecione Exportar XML para exportar seu conjunto de atualizações como um arquivo XML.
    20. Faça login na sua instância de produção.
    21. Navegar até Tudo > Conjuntos de atualização do sistema > Conjuntos para atualização recuperados.
    22. Na parte inferior da lista, selecione Importar conjunto de atualizações de XML.
    23. No formulário Importar XML, selecione Escolher arquivo e selecione o arquivo XML que você baixou nas etapas anteriores.
    24. Selecione Carregar.
    25. Navegar até Tudo > Conjuntos de atualização do sistema > Conjuntos para atualização recuperadose abra o conjunto de atualizações começando com SIGN_UPDATE_SET_updateSet.
    26. Selecione Visualizar Conjunto de Atualizações.
    27. Depois que a exibição for concluída, selecione Confirmar conjunto de atualizações.
    28. Navegar até Tudo > Segurança do sistema > Trabalhos de segurança > Tudo.
    29. Abra o trabalho de segurança importado.
    30. Selecione Iniciar para executar o trabalho de segurança.

      Depois que o trabalho de segurança for concluído, as informações sobre o status do trabalho serão exibidas no campo Resumo.

      Quando o trabalho está no estado Concluído, todas as assinaturas de registros de conjunto de atualizações devem usar o certificado fornecido pelo cliente como certificado de verificação. Você pode verificar isso na tabela Registros de assinatura KMF [sn_kmf_record_signature].

    O que Fazer Depois

    Para continuar o processo de configuração da raiz de confiança, consulte Desabilitar raiz de confiança da ServiceNow.