証明書管理での自動フローの使用

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:6分

    • 「証明書インベントリと管理」の自動証明書管理は、TLS 証明書プロセスを簡素化し、効率の向上、手動操作の削減、セキュリティの強化などのメリットを提供します。証明書管理を自動化することで、タイムリーな更新が保証され、証明書の期限が切れるリスクが最小限に抑えられ、TLS 証明書のライフサイクルを処理するための体系的なアプローチが提供されます。

    始める前に

    必要なロール:pki_admin または admin

    Microsoft認証局の自動フローを使用するには、ServiceNow 統合ハブアクションステップ - PowerShell プラグインをインストールする必要があり、統合ハブサブスクリプションが必要です。詳細については、「Integration Hub usage and subscription」を参照してください。

    手順

    1. システムのプロパティ sn_disco_certmgmt.cert_task_default_approval_group をデフォルトの承認グループ名に設定します。
      承認グループ名は、証明書要求が手動モードに移行する場合 (たとえば、一致するポリシーがない場合、または一致する 3 つ以上のポリシーがある場合) に使用されるデフォルトのグループです。複数の承認グループをカンマで区切って追加できます。タスクドメインに属するリスト上の最初のグループが承認に使用されます。ドメイン固有のグループが見つからない場合は、グローバルドメインリストの最初の名前が使用されます。
    2. 証明書注文の有効期間を設定するには、システムのプロパティ sn_disco_certmgmt.default_cert_order_validity_period を更新します。
      デフォルトは 730 日 (2 年) です。
    3. 各認証局 (たとえば、DigiCert、Entrust CA Gateway、または Microsoft CA) に対するルーティングポリシーを設定します。
      単一の CA に対して複数のルーティングポリシーを定義し、異なるアカウントを使用して証明書をフェッチできます。Microsoft CA の場合は、次のいずれかを実行できます。
      • ルーティングポリシーの ca_host_ip フィールドに CA サーバーの IP を追加する。または、
      • ルーティングポリシーの ca_host_ip フィールドにある中間サーバーの IP を追加する。中間サーバーは、Microsoft CA サーバーと同じドメイン内にあり、PowerShell で利用可能な certutil コマンドおよび certreq コマンドにアクセスできる任意の Windows サーバーにすることができます。

        中間サーバーを使用している場合、MID サーバー は Invoke-Command を使用して中間サーバー上で Powershell スクリプトを実行し、次にリモートプロシージャコール (RPC) を使用して CA サーバー上で certutil コマンドおよび certreq コマンドを実行します。

    4. 証明書認証情報を作成し、認証情報エイリアスにマップします。
      各認証情報は、一意の認証情報エイリアスとマッピングする必要があります。詳細については、「ディスカバリーの認証情報エイリアス」を参照してください。
    5. 証明書と証明書 URL 情報が認証局 [sn_disco_certmgmt_ca] テーブルと認証局 API URL [sn_disco_certmgmt_ca_api_url] テーブルにあることを確認します。
      DigiCert のデフォルト URL は、すべての検証タイプの URL を提供します。必要に応じて URL を追加できます。
    6. 証明書と証明書 URL 情報が認証局 [sn_disco_certmgmt_ca] テーブルと認証局 API URL [sn_disco_certmgmt_ca_api_url] テーブルにあることを確認します。
      DigiCert または Entrust CA Gateway のデフォルト URL は、すべての検証タイプの URL を提供します。必要に応じて URL を追加できます。
    7. 証明書と証明書 URL 情報が認証局 [sn_disco_certmgmt_ca] テーブルと認証局 API URL [sn_disco_certmgmt_ca_api_url] テーブルにあることを確認します。
      DigiCert または Entrust CA Gateway のデフォルト URL は、すべての検証タイプの URL を提供します。必要に応じて URL を追加できます。
    8. タスクの優先度を設定します。

      タスクの優先度に基づいて、変更要求の優先度とタイプがマッピングされます。変更要求のタスク優先度は、P5 を除いて、同じ優先度になります (変更要求には P5 がないため、この場合は P4 にマッピングされます)。

      変更要求のタイプを変更するには、変更管理プロパティ com.snc.change_management.change_model.type_compatibility を true に設定する必要があります。デフォルトは False です。

      1. タスクを設定し、必要に応じてシステムのプロパティ sn_disco_certmgmt.default_cert_task_priority を変更して、新規および更新タスクの優先度を設定します。
        優先度のデフォルトは P3 です。指定可能な値は 1、2、3、4、5 です。値が 1 の場合、優先度は P1 に設定されるといった具合になります。無効な値が指定された場合、優先度はデフォルトの P3 にリセットされます。
      2. タスクを設定し、必要に応じてシステムのプロパティ sn_disco_certmgmt.default_revoke_cert_task_priority を変更して、取り消しタスクの優先度を設定します。
        優先度のデフォルトは P1 です。指定可能な値は 1、2、3、4、5 です。値が 1 の場合、優先度は P1 に設定されるといった具合になります。無効な値が指定された場合、優先度はデフォルトの P1 にリセットされます。
    9. オプション: 統合ハブプラグイン [com.glide.hub.integrations] をインストールします。

      [com.glide.hub.integrations] プラグインは、DigiCert 証明書を要求し、証明書の注文ステータスを追跡するためには必要ありません。ただし、顧客が証明書サブフローアクションをデバッグするか、DigiCert の独自のカスタマイズフローを追加する場合は、このプラグインをインストールする必要があります。

      [com.glide.hub.integrations] プラグインは、DigiCert または Entrust CA Gateway 証明書を要求し、証明書の注文ステータスを追跡するためには必要ありません。ただし、顧客が証明書サブフローアクションをデバッグするか、DigiCert または Entrust CA Gateway の独自のカスタマイズフローを追加する場合は、このプラグインをインストールする必要があります。

      [com.glide.hub.integrations] プラグインは、DigiCert または Entrust CA Gateway 証明書を要求し、証明書の注文ステータスを追跡するためには必要ありません。ただし、顧客が証明書サブフローアクションをデバッグするか、DigiCert、Entrust CA Gateway、または Microsoft CA に対して独自のカスタマイズフローを追加する場合は、このプラグインをインストールする必要があります。