自動証明書管理を使用した証明書の更新
証明書の更新を要求し、アプリケーションの証明書を自動的に取得して、証明書の有効期間を延長することで安全で中断のないサービスを維持し、期限切れの証明書によるサービス中断の可能性を防止します。
始める前に
証明書管理カタログが有効になっており、ルーティングポリシーが作成されていることを確認します。
必要なロール:PKI Admin、Admin、証明書所有者、または証明書所有者グループに属するユーザー。
このタスクについて
この時点では、Entrust CA Gateway 証明書を更新できません。既存の証明書を更新するには、元の証明書と同じ詳細を使用して新しい証明書を要求します。現在、Entrust CA Gateway および Microsoft CA の証明書で利用可能な更新 API はありません。更新要求時には、選択した証明書と同じ属性で新しい証明書が内部で生成されます。
既存の証明書を更新するには、CSR が必須です。要求者は、利用可能な場合は既存の CSR を使用するか、新しい CSR を使用できます。既存の CSR を使用する場合は、同じ CSR を使用して CA に新しい証明書を要求します。Vault および Java API を使用してフィールドに入力すると、CSR が生成されます。
手順
- 次のように移動する。 .
- [証明書の更新 – 自動フロー] をクリックします。
- 必須フィールド [CSR] および [有効期間] に詳細を入力します。
- フォームに追加情報を入力するか選択し、[送信] をクリックして注文を続行します。
タスクの結果
- ルーティングポリシー [sn_disco_certmgmt_routing_policy] テーブルは、CA ルーティングポリシー ID をフェッチするために役立ちます。
- 単一のルーティングポリシーが一致しない場合、承認者は CA を選択してフローをトリガーする必要があります。
- CSR に発行された証明書ドメイン名とは異なるドメイン名が含まれている場合、タスクは承認を要求します。
- 単一のルーティングポリシーに一致するが、証明書拡張 [sn_disco_certmgmt_certificate_extension] テーブルで証明書の更新情報を利用できない場合は、タスクが承認を要求します。
- 証明書拡張 [sn_disco_certmgmt_certificate_extension] テーブルの証明書に、認証局と注文 ID またはサムプリントの詳細が欠落している場合は、証明書を更新できません。認証局クエリーを介して証明書を検出し、証明書拡張テーブルに必要な詳細を入力します。ディスカバリー の後に、ルーティングポリシーを選択し、タスクを承認します。
- これにより、注文された証明書のタスクが作成され、証明書の更新を要求するフローがトリガーされます。
- 要求が送信されると、自動フローは CA に証明書を取得するように要求します。注:Powershell ステップは Microsoft CA に使用されます。これにはプラグイン com.glide.hub.action_step.powershell が必要です。
- その後、注文 ID は証明書タスク [sn_disco_certmgmt_certificate_task] テーブルと証明書拡張 [sn_disco_certmgmt_certificate_extension] テーブルに格納されます。注:Entrust CA Gateway の場合、証明書のシリアル番号と登録 ID がフェッチされます。シリアル番号は、証明書の拡張機能 [sn_disco_certmgmt_certificate_extension] テーブルに保存されます。
- 30 分ごとに、「DigiCert – 証明書注文ステータスの追跡」スケジュール済みジョブが実行され、ステータスがチェックされます。
選択した証明書に関する詳細が証明書拡張 [sn_disco_certmgmt_certificate_extension] テーブルからフェッチされ、証明書を更新するように CA に要求します。認証局、注文 ID、またはサムプリントがこのテーブルに欠落している場合は、証明書を更新できません。何らかの理由で証明書を更新するための追加の詳細が欠落している場合、システムはメッセージを記録し、何をすべきかを提案します。この場合、CA ベースのディスカバリーを使用して証明書を検出する必要があります。証明書拡張テーブルに詳細を入力する方法については、「認証局クエリーによる証明書ディスカバリーの実行」を参照してください。