Automatisierte Flows für die Zertifikatverwaltung verwenden

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer

    • Die automatisierte Zertifikatverwaltung in Zertifikatbestand und -management optimiert TLS-Zertifikatprozesse und bietet Vorteile wie höhere Effizienz, weniger manuelle Eingriffe und höhere Sicherheit. Die Automatisierung der Zertifikatverwaltung stellt eine rechtzeitige Verlängerung sicher, minimiert das Risiko abgelaufener Zertifikate und bietet einen systematischen Ansatz für die Verwaltung des Lebenszyklus von TLS-Zertifikaten.

    Vorbereitungen

    Erforderliche Rolle: pki_admin oder admin

    Um den automatisierten Flow der Zertifizierungsstelle MicrosoftMicrosoft Azure Event Hubs zu verwenden, müssen Sie das Plugin „ServiceNow IntegrationHub Action Step – PowerShell“ installieren und über ein Integration Hub-Abonnement verfügen. Weitere Informationen finden Sie unter Integration Hub usage and subscription.

    Prozedur

    1. Legen Sie die Systemeigenschaft sn_disco_certmgmt.cert_task_default_approval_group auf den Standardnamen der Genehmigungsgruppe fest.
      Der Name der Genehmigungsgruppe ist die Standardgruppe, die verwendet wird, wenn die Zertifikatanforderung in den manuellen Modus wechselt, z. B. wenn keine übereinstimmende Richtlinie oder mehr als zwei übereinstimmende Richtlinien vorhanden sind. Sie können mehrere durch Kommata getrennte Genehmigungsgruppen hinzufügen. Die erste Gruppe in der Liste, die zur Aufgabendomäne gehört, wird für die Genehmigung verwendet. Wenn keine domänenspezifische Gruppe gefunden wird, wird der erste Name in der globalen Domänenliste verwendet.
    2. Um den Gültigkeitszeitraum des Zertifikatauftrags festzulegen, aktualisieren Sie die Systemeigenschaft sn_disco_certmgmt.default_cert_order_validity_period.
      Der Standardwert lautet 730 Tage (2 Jahre).
    3. Richten Sie die Weiterleitungsrichtlinie für jede Zertifizierungsstelle ein (z. B. DigiCert, Entrust CA Gateway oder MicrosoftMicrosoft Azure Event Hubs CA).
      Sie können mehrere Routing-Richtlinien für eine einzelne CA definieren, um verschiedene Konten zum Abrufen von Zertifikaten zu verwenden. Für MicrosoftMicrosoft Azure Event Hubs CA können Sie dann entweder:
      • Fügen Sie die IP des CA-Servers im Feld „ca_host_ip“ der Weiterleitungsrichtlinie hinzu, ODER
      • Fügen Sie die IP eines Zwischenservers im Feld „ca_host_ip“ der Weiterleitungsrichtlinie hinzu. Der Zwischenserver kann ein beliebiger Windows -Server sein, der sich in derselben Domäne wie der CA-Server MicrosoftMicrosoft Azure Event Hubs befindet und Zugriff auf die in PowerShell verfügbaren Befehle vom Typ „certutil“ und „certreq“ hat.

        Wenn ein Zwischenserver verwendet wird, führt der MID-Server ein PowerShell-Skript auf dem Zwischenserver mit Invoke-Command aus, das wiederum Remote Procedure Call (RPC) verwendet, um die Befehle certutil und certreq auf dem CA Server auszuführen.

    4. Erstellen Sie die Zertifikatanmeldeinformationen, und ordnen Sie diese dem Anmeldeinformationsalias zu.
      Alle Anmeldeinformationen sollten einem eindeutigen Anmeldeinformationsalias zugeordnet werden. Weitere Informationen finden Sie unter Anmeldeinformationsalias für Discovery.
    5. Stellen Sie sicher, dass sich die Informationen zum Zertifikat und zur Zertifikat-URL in den Tabellen „Zertifizierungsstelle“ [sn_disco_certmgmt_ca] und „Zertifizierungsstellen-API-URL“ [sn_disco_certmgmt_ca_api_url] befinden.
      Die Standard-URL für DigiCert enthält alle Validierungstyp-URLs. Sie können bei Bedarf zusätzliche URLs hinzufügen.
    6. Stellen Sie sicher, dass sich die Informationen zum Zertifikat und zur Zertifikat-URL in den Tabellen „Zertifizierungsstelle“ [sn_disco_certmgmt_ca] und „Zertifizierungsstellen-API-URL“ [sn_disco_certmgmt_ca_api_url] befinden.
      Die Standard-URL für DigiCert und Entrust CA Gateway enthält alle Validierungstyp-URLs. Sie können bei Bedarf zusätzliche URLs hinzufügen.
    7. Stellen Sie sicher, dass sich die Informationen zum Zertifikat und zur Zertifikat-URL in den Tabellen „Zertifizierungsstelle“ [sn_disco_certmgmt_ca] und „Zertifizierungsstellen-API-URL“ [sn_disco_certmgmt_ca_api_url] befinden.
      Die Standard-URL für DigiCert und Entrust CA Gateway enthält alle Validierungstyp-URLs. Sie können bei Bedarf zusätzliche URLs hinzufügen.
    8. Legen Sie die Aufgabenpriorität fest.

      Basierend auf der Aufgabenpriorität werden die Priorität und der Typ der Change-Anforderungen zugeordnet. Die Change-Anforderung hat die gleiche Priorität wie die Aufgabenpriorität mit Ausnahme von P5 (die Change-Anforderung hat kein P5, daher wird sie in diesem Fall P4 zugeordnet).

      Um den Typ der Change-Anforderungen zu ändern, muss die Change-Management-Eigenschaft com.snc.change_management.change_model.type_compatibility auf „true“ festgelegt werden. Der Standardwert ist „Falsch“.

      1. Legen Sie die Aufgabe fest, und ändern Sie bei Bedarf die Systemeigenschaft sn_disco_certmgmt.default_cert_task_priority, um die Prioritäten für Neu- und Verlängerungsaufgaben zu konfigurieren.
        Die Priorität ist standardmäßig P3. Die möglichen Werte sind 1, 2, 3, 4, 5. Wenn der Wert 1 ist, wird die Priorität auf P1 festgelegt usw. Wenn ein ungültiger Wert angegeben ist, wird die Priorität auf den Standardwert P3 zurückgesetzt.
      2. Legen Sie die Aufgabe fest, und ändern Sie bei Bedarf die Systemeigenschaft sn_disco_certmgmt.default_revoke_cert_task_priority, um Prioritäten für Aufgaben beim Widerrufen zu konfigurieren.
        Die Priorität ist standardmäßig P1. Die möglichen Werte sind 1, 2, 3, 4, 5. Wenn der Wert 1 ist, wird die Priorität auf P1 festgelegt usw. Wenn ein ungültiger Wert angegeben ist, wird die Priorität auf den Standardwert P1 zurückgesetzt.
    9. Wahlweise: Installieren Sie das Plugin „Integrations-Hub“ [com.glide.hub.integrations].

      Das Plugin [com.glide.hub.integrations] ist nicht erforderlich, um das DigiCert-Zertifikat anzufordern und den Status der Zertifikatbestellung zu verfolgen. Wenn der Kunde jedoch die Zertifikat-Subflow-Aktionen debuggen oder seinen eigenen Anpassungsflow für DigiCert hinzufügen möchte, muss er dieses Plugin installieren.

      Das Plugin [com.glide.hub.integrations] ist nicht erforderlich, um das DigiCert- oder das Entrust CA Gateway-Zertifikat anzufordern und den Status der Zertifikatbestellung zu verfolgen. Wenn der Kunde jedoch die Zertifikat-Subflow-Aktionen debuggen oder seinen eigenen Anpassungs-Flow für DigiCert oder Entrust CA Gateway hinzufügen möchte, muss er dieses Plugin installieren.

      Das Plugin [com.glide.hub.integrations] ist nicht erforderlich, um das DigiCert- oder das Entrust CA Gateway-Zertifikat anzufordern und den Status der Zertifikatbestellung zu verfolgen. Wenn der Kunde jedoch die Subflow-Aktionen des Zertifikats debuggen oder einen eigenen Anpassungs-Flow für DigiCert, Entrust CA Gateway oder MicrosoftMicrosoft Azure Event Hubs CA hinzufügen möchte, muss er dieses Plugin installieren.