Renouveler un certificat à l'aide de la gestion automatisée des certificats

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Demandez le renouvellement d’un certificat et récupérez automatiquement le certificat d’une application afin de maintenir des services sécurisés et ininterrompus en prolongeant la période de validité du certificat, empêchant ainsi toute interruption de service éventuelle en raison de certificats expirés.

    Avant de commencer

    Assurez-vous que le catalogue de gestion des certificats est activé et qu’une politique d’acheminement a été créée.

    Rôle requis : administrateur PKI, admin, propriétaire de certificat ou utilisateur faisant partie du groupe propriétaire du certificat.

    Le propriétaire du certificat et le groupe propriétaire du certificat contiennent le rôle Demandeur de certificat (rôle minimal).
    Remarque :
    Actuellement, les approbations sont prises en charge uniquement dans l'expérience d'approbation du prestataire.

    Pourquoi et quand exécuter cette tâche

    il est pour l'instant impossible de renouveler les certificats Entrust CA Gateway. Pour renouveler un certificat existant, demandez un nouveau certificat avec les mêmes détails que le certificat d'origine. Actuellement, aucune API de renouvellement n’est disponible pour les certificats Entrust CA et Microsoft CA Gateway. Lors d’une demande de renouvellement, un nouveau certificat est généré en interne avec les mêmes attributs que le certificat sélectionné.

    Pour renouveler un certificat existant, la demande de signature de certificat (CSR) est obligatoire. Le demandeur peut utiliser une CSR existante si elle est disponible ou utiliser une nouvelle CSR. Si vous souhaitez utiliser une CSR existante, utilisez la même CSR pour demander un nouveau certificat auprès de l'autorité de certification. Si les champs sont renseignés à l'aide des API vault et java, la CSR est générée.

    Procédure

    1. Accédez à la Tous > Catalogue de services > Gestion des certificats.
    2. Cliquez sur Renouveler le certificat – Flux automatisé.
    3. Renseignez les champs obligatoires : CSR et Période de validité.
    4. Renseignez ou choisissez des informations supplémentaires sur le formulaire, puis cliquez sur Envoyer pour procéder à la commande.

    Résultats

    1. La table Politique d'acheminement [sn_disco_certmgmt_routing_policy] permet d'extraire l'ID de politique d'acheminement de l'autorité de certification.
      • Si aucune politique d'acheminement unique ne correspond, l'approbateur doit sélectionner l'autorité de certification et déclencher le flux.
      • Si la CSR contient un nom de domaine différent de celui du certificat émis, la tâche requiert une approbation.
      • Si une politique d'acheminement unique est mise en correspondance, mais que les informations de certificat de renouvellement ne sont pas disponibles dans la table Extension de certificat [sn_disco_certmgmt_certificate_extension], la tâche requiert une approbation.
      • Il est impossible de renouveler les certificats si l'autorité de certification et l'ID de commande ou l'empreinte digitale sont manquants dans la table Extension de certificat [sn_disco_certmgmt_certificate_extension]. Détectez le certificat via la requête d’autorité de certification pour renseigner les détails requis dans la table Extension de certificat. Une fois la fonction Détection exécutée, sélectionnez la politique d'acheminement et approuvez la tâche.
    2. Une tâche est créée pour le certificat commandé, ce qui déclenche le flux de demande d'un certificat de renouvellement.
    3. Une fois la demande envoyée, le flux automatisé sollicite le certificat auprès de l'autorité de certification.
      Remarque :
      L’étape PowerShell est utilisée pour l’autorité de Microsoft certification. Cela nécessite le module d’extension : com.glide.hub.action_step.powershell.
    4. L'ID de commande est ensuite stocké dans la table Tâche de certification [sn_disco_certmgmt_certificate_task] et dans la table Extension de certificat [sn_disco_certmgmt_certificate_extension].
      Remarque :
      pour Entrust CA Gateway, le numéro de série et l'ID d'inscription du certificat sont récupérés. Le numéro de série est stocké dans la table Extension de certificat [sn_disco_certmgmt_certificate_extension].
    5. Toutes les 30 minutes, la tâche planifiée « DigiCert – Suivre l'état de la commande de certificats » s'exécute et vérifie l'état.
    Remarque :

    Le système récupère les détails du certificat sélectionné à partir de la table Extension de certificat [sn_disco_certmgmt_certificate_extension] et demande à l'autorité de certification de renouveler le certificat. Il est impossible de renouveler les certificats si l'autorité de certification, l'ID de commande ou l'empreinte digitale sont manquants dans cette table. Si, pour une raison quelconque, ces détails supplémentaires sont manquants pour renouveler le certificat, le système génère un message et fournit des instructions pour résoudre le problème. Dans ce cas, vous devez détecter le certificat à l'aide de la fonction de détection basée sur l'autorité de certification. Pour plus d’informations, consultez Exécuter la détection de certificats via une requête d’autorité de certification pour renseigner ces informations dans la table Extension de certificat.