Configurer la politique d'acheminement pour la gestion automatisée des certificats

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Configurez une politique d’acheminement pour automatiser votre inventaire et votre gestion des certificats. La création d’une politique basée sur l’autorité de certification (CA), l’environnement et d’autres fonctionnalités garantit une gestion efficace des certificats TLS.

    Avant de commencer

    Rôle requis : pki_admin ou admin

    Pourquoi et quand exécuter cette tâche

    La politique d'acheminement détermine l'autorité de certification à contacter pour les opérations de certification. Il contient les attributs CA, URL CA, Informations d’identification, Groupe d’approbation, Groupe d’affectation et CSR. La politique d'acheminement déclenche le flux de demande de certificats pour des CI spécifiques.

    Remarque :
    Une demande de certificat est considérée comme un doublon si une autre tâche de certification portant le même nom de domaine est en cours. Les demandes de certificats en double ne sont pas autorisées. Vous pouvez toutefois modifier ce paramètre en cochant la case Autoriser les demandes en double. Actuellement, les approbations sont prises en charge uniquement dans l'expérience d'approbation du prestataire. Consultez une table des champs qui entrent dans les politiques d’acheminement à l’adresse, Table de formulaires de politique d’acheminement des certificats.

    Procédure

    1. Accédez à la Tous > Gestion des certificats > Politiques d'acheminement des certificats.
    2. Sélectionnez Nouveau et renseignez les champs obligatoires sur le formulaire.
      Bien que les demandes de nouveaux certificats et de renouvellement de certificats puissent être automatisées, de nombreuses équipes PKI préfèrent la validation humaine avant l’exécution. Si tel est le cas, cochez la case Approbation requise .
      Remarque :
      Organisation, Unité organisationnelle, Localité, État, Pays et E-mail acceptent les valeurs séparées par des virgules. * sera considéré comme tel. Le nom commun du sujet et le nom alternatif du sujet sont pris en charge avec RegEx. Le format RegEx présente les restrictions suivantes :
      • Il ne doit pas contenir de virgules.
      • Il ne doit pas commencer et se terminer par une barre oblique (/) et * correspond à n’importe quel point.
      • Pour plus d’informations sur les champs et les valeurs d’un formulaire de politique d’acheminement, reportez-vous à la section .
    3. Les attributs CSR suivants sont mis en correspondance avec les entrées de la table Politique d'acheminement [sn_disco_certmgmt_routing_policy] :
      • Organisation
      • Unité organisationnelle
      • Localité
      • État
      • Pays
      • E-mail
      • Environnement
      • Objectif du certificat (interne/externe)
      • Nom commun du sujet
      • Nom alternatif du sujet
      Remarque :
      Pour Entrust CA Gateway, il existe également ces champs : Identificateur de l’autorité de certification, Profil du certificat et Format du certificat. Pour Microsoft l’autorité de certification, utilisez également ces champs : autorité de certification, nom du modèle CA, adresse IP de l’hôte CA, informations d’identification et attributs CSR. Pour DigiCert, la stratégie d’acheminement nécessite également un champ URL d’API de l’autorité de certification pour gérer les processus automatisés et les flux de révocation.
    4. Les cas de figure suivants peuvent se présenter.
      OptionDescription
      Si une seule politique d’acheminement correspond Vérifiez les conditions suivantes :
      • Validez le nom commun du sujet à l’aide du modèle RegEx fourni dans la table Politique d’acheminement, nom de domaine ou *.
      • Vérifiez que la période de validité de la demande de certificat ne dépasse pas la période de validité maximale dans la table Politique d’acheminement.
      • Vérifier les doublons du marqueur La demande de certificat est autorisée dans la table Politique d’acheminement.
      Si plusieurs politiques d’acheminement sont éligibles La tâche est affectée au groupe d’approbateurs par défaut.
      Si aucune politique d’acheminement n’est trouvée La tâche est affectée au groupe d’approbateurs par défaut.
      Si une seule politique correspond et que le marqueur d’approbation nécessaire est vrai La tâche est affectée au groupe d’approbation des tâches défini dans la politique d’acheminement.

    Résultats

    Le groupe d’approbation est affecté à la politique d’acheminement et contient le rôle suivant : pki_approver et au moins un des membres actifs disponibles dans ce groupe. Si la politique d'acheminement nécessite une approbation manuelle, l'approbation est demandée aux membres du groupe d'approbation.

    Que faire ensuite

    Les articles de la base de connaissances suivants vous guident tout au long du processus de production des informations d’identification requises et de configuration des politiques de routage pour différentes autorités de certification :

    Pour Digicert, consultez [Digicert] Configurer la gestion automatisée des certificats pour les certificats TLS [KB2166364].

    Pour Entrust, consultez [Entrust] Configurer la gestion automatisée des certificats pour les certificats TLS [KB2173533].

    Pour Let’s Encrypt, consultez [Let’s Encrypt - ACME] Configurer la gestion automatisée des certificats pour les certificats TLS [KB2197962].

    Pour Microsoft CA, consultez [Microsoft CA] Configurer la gestion automatisée des certificats pour les certificats TLS [KB2198094].