Automatisierte Flows für die Zertifikatverwaltung verwenden

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Die automatisierte Zertifikatverwaltung in Certificate Inventory and Management optimiert TLS-Zertifikatprozesse und bietet Vorteile wie verbesserte Effizienz, weniger manuelle Eingriffe und erhöhte Sicherheit. Die Automatisierung der Zertifikatverwaltung stellt eine rechtzeitige Verlängerung sicher, minimiert das Risiko abgelaufener Zertifikate und bietet einen systematischen Ansatz für den Umgang mit dem Lebenszyklus von TLS-Zertifikaten.

    Vorbereitungen

    Erforderliche Rolle: pki_admin oder admin

    Prozedur

    1. Legen Sie die Systemeigenschaft sn_disco_certmgmt.cert_task_default_approval_group auf den Standardnamen der Genehmigungsgruppe fest.
      Der Name der Genehmigungsgruppe ist die Standardgruppe, die verwendet wird, wenn die Zertifikatanforderung in den manuellen Modus wechselt, z. B. wenn keine übereinstimmende Richtlinie oder mehr als zwei übereinstimmende Richtlinien vorhanden sind. Sie können mehrere durch Kommata getrennte Genehmigungsgruppen hinzufügen. Die erste Gruppe in der Liste, die zur Aufgabendomäne gehört, wird für die Genehmigung verwendet. Wenn keine domänenspezifische Gruppe gefunden wird, wird der erste Name in der globalen Domänenliste verwendet.
    2. Um den Gültigkeitszeitraum der Zertifikatbestellung festzulegen, aktualisieren Sie die Systemeigenschaft sn_disco_certmgmt.default_cert_order_validity_period.
      Der Standardwert lautet 730 Tage (2 Jahre).
    3. Richten Sie die Weiterleitungsrichtlinie für jede Zertifizierungsstelle ein (z. B. DigiCert, Entrust oder Microsoft CA Gateway).
      Sie können mehrere Routing-Richtlinien für eine einzelne CA definieren, um verschiedene Konten zum Abrufen von Zertifikaten zu verwenden. Für Microsoft CA haben Sie dann folgende Möglichkeiten:
      • Fügen Sie die IP des CA-Servers im Feld „ca_host_ip“ der Routing-Richtlinie hinzu, ODER
      • Fügen Sie die IP eines Zwischenservers im Feld „ca_host_ip“ der Routing-Richtlinie hinzu. Der Zwischenserver kann ein beliebiger Windows Server sein, der sich in derselben Domäne wie der Microsoft CA-Server befindet und Zugriff auf die in PowerShell verfügbaren Befehle certutil und certreq hat.

        Wenn ein Zwischenserver verwendet wird, führt MID-Server ein PowerShell-Skript auf dem Zwischenserver mit Invoke-Command aus, das wiederum Remote Procedure Call (RPC) verwendet, um die Befehle certutil und certreq auf dem CA-Server auszuführen.

    4. Erstellen Sie die Zertifikatanmeldeinformationen, und ordnen Sie diese dem Anmeldeinformationsalias zu.
      Alle Anmeldeinformationen sollten einem eindeutigen Anmeldeinformationsalias zugeordnet werden. Weitere Informationen finden Sie unter Anmeldeinformationsalias für Discovery.
    5. Stellen Sie sicher, dass sich die Informationen zum Zertifikat und zur Zertifikat-URL in den Tabellen „Zertifizierungsstelle“ [sn_disco_certmgmt_ca] und „Zertifizierungsstellen-API-URL“ [sn_disco_certmgmt_ca_api_url] befinden.
      Die Standard-URL für DigiCert enthält alle Validierungstyp-URLs. Sie können bei Bedarf zusätzliche URLs hinzufügen.
    6. Stellen Sie sicher, dass sich die Informationen zum Zertifikat und zur Zertifikat-URL in den Tabellen „Zertifizierungsstelle“ [sn_disco_certmgmt_ca] und „Zertifizierungsstellen-API-URL“ [sn_disco_certmgmt_ca_api_url] befinden.
      Die Standard-URL für DigiCert und Entrust CA Gateway enthält alle Validierungstyp-URLs. Sie können bei Bedarf zusätzliche URLs hinzufügen.
    7. Stellen Sie sicher, dass sich die Informationen zum Zertifikat und zur Zertifikat-URL in den Tabellen „Zertifizierungsstelle“ [sn_disco_certmgmt_ca] und „Zertifizierungsstellen-API-URL“ [sn_disco_certmgmt_ca_api_url] befinden.
      Die Standard-URL für DigiCert und Entrust CA Gateway enthält alle Validierungstyp-URLs. Sie können bei Bedarf zusätzliche URLs hinzufügen.
    8. Legen Sie die Aufgabenpriorität fest.

      Basierend auf der Aufgabenpriorität werden die Priorität und der Typ der Change-Anforderungen zugeordnet. Die Change-Anforderung hat dieselbe Priorität wie die Aufgabenpriorität, außer P5 (die Change-Anforderung hat kein P5, daher wird sie in diesem Fall P4 zugeordnet).

      Um den Typ der Change-Anforderungen zu ändern, muss die Change-Management-Eigenschaft com.snc.change_management.change_model.type_compatibility auf „true“ festgelegt werden. Der Standardwert ist „Falsch“.

      1. Legen Sie die Aufgabe fest, und ändern Sie bei Bedarf die Systemeigenschaft sn_disco_certmgmt.default_cert_task_priority, um die Prioritäten für „Neu“ und „Aufgabe verlängern“ zu konfigurieren.
        Die Priorität ist standardmäßig P3. Die möglichen Werte sind 1, 2, 3, 4, 5. Wenn der Wert 1 ist, wird die Priorität auf P1 festgelegt usw. Wenn ein ungültiger Wert angegeben ist, wird die Priorität auf den Standardwert P3 zurückgesetzt.
      2. Legen Sie die Aufgabe fest, und ändern Sie bei Bedarf die Systemeigenschaft sn_disco_certmgmt.default_revoke_cert_task_priority, um Prioritäten für „Aufgabe widerrufen“ zu konfigurieren.
        Die Priorität ist standardmäßig P1. Die möglichen Werte sind 1, 2, 3, 4, 5. Wenn der Wert 1 ist, wird die Priorität auf P1 festgelegt usw. Wenn ein ungültiger Wert angegeben ist, wird die Priorität auf den Standardwert P1 zurückgesetzt.
    9. Wahlweise: Installieren Sie das Integration Hub-Plugin [com.glide.hub.integrations].

      Das Plugin [com.glide.hub.integrations] ist nicht erforderlich, um das DigiCert-Zertifikat anzufordern und den Status der Zertifikatbestellung zu verfolgen. Wenn der Kunde jedoch die Zertifikat-Subflow-Aktionen debuggen oder seinen eigenen Anpassungsflow für DigiCert hinzufügen möchte, muss er dieses Plugin installieren.

      Das Plugin [com.glide.hub.integrations] ist nicht erforderlich, um das DigiCert- oder das Entrust CA Gateway-Zertifikat anzufordern und den Status der Zertifikatbestellung zu verfolgen. Wenn der Kunde jedoch die Zertifikat-Subflow-Aktionen debuggen oder seinen eigenen Anpassungs-Flow für DigiCert oder Entrust CA Gateway hinzufügen möchte, muss er dieses Plugin installieren.

      Das Plugin [com.glide.hub.integrations] ist nicht erforderlich, um das DigiCert- oder das Entrust CA Gateway-Zertifikat anzufordern und den Status der Zertifikatbestellung zu verfolgen. Wenn der Kunde jedoch die Zertifikat-Subflow-Aktionen debuggen oder einen eigenen Anpassungs-Flow für DigiCert, Entrust oder Microsoft CA Gateway hinzufügen möchte, muss er dieses Plugin installieren.