Zertifikate mithilfe der automatisierten Zertifikatverwaltung erneuern

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Fordern Sie die Verlängerung eines Zertifikats an, und rufen Sie das Zertifikat für eine Anwendung automatisch ab, um sichere und unterbrechungsfreie Services durch Verlängerung des Gültigkeitszeitraums des Zertifikats zu gewährleisten und potenzielle Serviceunterbrechungen aufgrund abgelaufener Zertifikate zu verhindern.

    Vorbereitungen

    Stellen Sie sicher, dass der Zertifikatverwaltungskatalog aktiviert ist und eine Weiterleitungsrichtlinie erstellt wurde.

    Erforderliche Rolle: PKI-Administrator, Administrator, Zertifikatbesitzer oder Benutzer, die Teil der Zertifikatbesitzer-Gruppe sind.

    Zertifikatbesitzer und Zertifikatbesitzer-Gruppe enthalten die Rolle „Zertifikatanforderer“ (minimale Rolle).
    Hinweis:
    Genehmigungen werden derzeit nur in der Genehmigungs-Experience des Erfüllers unterstützt.

    Warum und wann dieser Vorgang ausgeführt wird

    Entrust CA Gateway-Zertifikate können derzeit nicht verlängert werden. Um ein vorhandenes Zertifikat zu verlängern, fordern Sie ein neues Zertifikat mit denselben Details wie das ursprüngliche Zertifikat an. Derzeit ist keine Renew-API für Entrust CA Gateway- und Microsoft CA-Zertifikate verfügbar. Während einer Verlängerungsanforderung wird intern ein neues Zertifikat mit denselben Attributen wie das ausgewählte Zertifikat generiert.

    Für die Verlängerung eines vorhandenen Zertifikats ist eine CSR obligatorisch. Die anfordernde Person kann eine vorhandene CSR (falls verfügbar) oder eine neue CSR verwenden. Wenn Sie eine vorhandene CSR verwenden möchten, verwenden Sie dieselbe CSR, um ein neues Zertifikat von der CA anzufordern. Wenn Felder mit Vault- und Java-APIs eingegeben werden, wird die CSR generiert.

    Prozedur

    1. Navigieren zu Alle > Servicekatalog > Zertifikatverwaltung.
    2. Klicken Sie auf Zertifikat verlängern − Automatisierter Flow.
    3. Geben Sie Details für die folgenden Pflichtfelder an: CSR und Gültigkeitszeitraum.
    4. Füllen Sie das Formular aus, oder wählen Sie zusätzliche Informationen aus, und klicken Sie dann auf Absenden, um mit der Bestellung fortzufahren.

    Ergebnisse

    1. Die Tabelle „Routing-Richtlinie“ [sn_disco_certmgmt_routing_policy] hilft beim Abrufen der Routing-Richtlinien-ID für die Zertifizierungsstelle.
      • Wenn keine Übereinstimmung mit einer einzelnen Routing-Richtlinie erzielt wird, muss der Genehmiger die Zertifizierungsstelle auswählen und den Flow auslösen.
      • Wenn die CSR einen anderen Domänennamen als den ausgegebenen Zertifikatdomänennamen enthält, fordert die Aufgabe die Genehmigung an.
      • Wenn eine einzelne Routing-Richtlinie übereinstimmt, aber in der Tabelle „Zertifikaterweiterung“ [sn_disco_certmgmt_certificate_extension] keine Verlängerungszertifikatinformationen verfügbar sind, muss die Aufgabe genehmigt werden.
      • Zertifikate können nicht erneuert werden, wenn Zertifizierungsstelle und Bestell-ID oder Fingerabdruckdetails für das Zertifikat in der Tabelle „Zertifikaterweiterung“ [sn_disco_certmgmt_certificate_extension] fehlen. Erkennen Sie das Zertifikat über die Abfrage der Zertifizierungsstelle, um die erforderlichen Details in die Zertifikaterweiterungstabelle aufzunehmen. Wählen Sie nach Discovery die Routing-Richtlinie aus, und genehmigen Sie die Aufgabe.
    2. Dadurch wird eine Aufgabe für das bestellte Zertifikat erstellt, die den Flow zur Anforderung des Verlängerungszertifikats auslöst.
    3. Sobald die Anforderung übermittelt wurde, sendet der automatisierte Flow die Anforderung an die Zertifizierungsstelle, um das Zertifikat zu erhalten.
      Hinweis:
      PowerShell-Schritt wird für Microsoft CA verwendet. Dies erfordert das Plugin: com.glide.hub.action_step.powershell.
    4. Die Auftrags-ID wird dann in den Tabellen „Zertifikataufgabe“ [sn_disco_certmgmt_certificate_task] und „Zertifikaterweiterung“ [sn_disco_certmgmt_certificate_extension] gespeichert.
      Hinweis:
      Für Entrust CA Gateway werden die Zertifikatseriennummer und die Registrierungs-ID abgerufen. Die Seriennummer wird in der Tabelle „Zertifikatverlängerung“ [sn_disco_certmgmt_certificate_extension] gespeichert.
    5. Alle 30 Minuten wird die geplante Aufgabe „DigiCert − Status der Zertifikatbestellung verfolgen“ ausgeführt und der Status wird überprüft.
    Hinweis:

    Das System ruft Details zum ausgewählten Zertifikat aus der Tabelle „Zertifikaterweiterung“ [sn_disco_certmgmt_certificate_extension] ab und fordert die Zertifizierungsstelle auf, das Zertifikat zu verlängern. Zertifikate können nicht erneuert werden, wenn Zertifizierungsstelle, Bestell-ID oder Fingerabdruck in dieser Tabelle fehlen. Wenn die zusätzlichen Details für die Verlängerung des Zertifikats aus irgendeinem Grund fehlen, protokolliert das System eine Meldung und schlägt vor, was zu tun ist. In diesem Fall müssen Sie die Erkennung für das Zertifikat mithilfe der CA-basierten Erkennung durchführen. Weitere Informationen finden Sie unter Führen Sie eine Zertifikat-Discovery über eine Zertifizierungsstellenabfrage aus, um diese Details in die Zertifikaterweiterungstabelle aufzunehmen.