Révoquer un certificat à l'aide de la gestion automatisée des certificats

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Demandez un certificat de révocation pour une application. La révocation ne nécessite aucune approbation si l'ID de commande et l'ID de certificat sont présents dans la table Extension de certificat. Si l'ID de commande et l'ID de certificat ne figurent pas dans la table Extension de certificat, la tâche requiert une approbation.

    Avant de commencer

    Assurez-vous que le catalogue de gestion des certificats est activé et qu’une politique d’acheminement a été créée.

    Rôle requis : pki_admin ou admin

    Remarque :
    Actuellement, les approbations sont prises en charge uniquement dans l'expérience d'approbation du prestataire.

    Procédure

    1. Accédez à la Tous > Catalogue de services > Gestion des certificats.
    2. Sélectionnez Révoquer le certificat – Flux automatisé.
    3. Spécifiez le certificat délivré que vous souhaitez révoquer (par exemple, www.undefined.com).
      Vous pouvez sélectionner plusieurs certificats à révoquer.
    4. Indiquez un motif approprié pour révoquer le certificat.
      Pour Microsoft l’autorité de certification, la raison doit être une valeur entière. Si une autre valeur est donnée, une valeur par défaut de 0 sera utilisée, ce qui signifie qu’elle n’est pas spécifiée.
    5. Pour passer la commande de révocation, sélectionnez Soumettre.
    6. Dans la fenêtre contextuelle de confirmation, sélectionnez OK.

    Résultats

    1. Une tâche est automatiquement créée lorsque vous demandez une révocation.
      • Si l'ID de commande et l'ID de certificat sont présents dans la table Extension de certificat [sn_disco_certmgmt_certificate_extension], la révocation ne nécessite aucune approbation.
      • Si l'ID de commande et l'ID de certificat ne figurent pas dans la table Extension de certificat [sn_disco_certmgmt_certificate_extension], la révocation nécessite une approbation.
      • Si le numéro de série pour Entrust CA Gateway ne figure pas dans la table Extension de certificat [sn_disco_certmgmt_certificate_extension], la tâche sollicite l'approbation.
    2. Lorsque l'équipe PKI donne son approbation, le certificat est mappé sur l'autorité de certification en fonction de la politique d'acheminement sélectionnée.
    3. L'opération de révocation est ainsi déclenchée pour l'autorité de certification sélectionnée qui utilise les API de CA.
    4. Les détails sont stockés dans la table Extension de certificat.
    5. Toutes les 30 minutes, la tâche planifiée suivante s'exécute et vérifie l'état : DigiCert – Suivre l'état de la commande de certificats.
      Remarque :
      Il n’existe aucune tâche planifiée pour Entrust ni Microsoft CA Gateway.
    6. Le certificat porte alors le marqueur Révoqué.
    Remarque :

    Il est impossible de révoquer les certificats si l'autorité de certification ou l'ID de commande sont manquants dans la table Extension de certificat [sn_disco_certmgmt_certificate_extension]. Pour Entrust CA Gateway, il est impossible de révoquer les certificats si le numéro de série est manquant. Détectez le certificat via la requête d’autorité de certification pour renseigner les détails requis dans la table Extension de certificat. Détection sélectionne alors la politique d'acheminement et approuve la tâche.

    Révoquez la demande d'API de certificat. Si l'attribut « skip_approval » est défini sur vrai, le processus de révocation se termine plus rapidement. Si l'attribut « skip_approval » est défini sur faux, le processus de révocation se termine lorsque l'administrateur de l'autorité de certification DigiCert ou Entrust CA Gateway approuve ou rejette la demande de révocation. Pour ignorer l'étape d'approbation, la clé d'API doit disposer de privilèges d'administrateur.