Configurer la politique d'acheminement pour la gestion automatisée des certificats

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Configurez une politique d’acheminement pour mettre en place une gestion automatisée des certificats dans Gestion et inventaires des certificats. Cela implique la création d’une politique basée sur des facteurs tels que l’autorité de certification (CA), l’environnement et d’autres fonctionnalités, afin de garantir une gestion efficace des certificats TLS.

    Avant de commencer

    Rôle requis : pki_admin ou admin

    Pourquoi et quand exécuter cette tâche

    Les demandes de certificats en double ne sont pas autorisées. Vous pouvez toutefois modifier ce paramètre en cochant la case Autoriser les demandes en double. Une demande de certificat est considérée comme un doublon si une autre tâche de certification portant le même nom de domaine est en cours. Actuellement, les approbations sont prises en charge uniquement dans l'expérience d'approbation du prestataire.

    La politique d'acheminement détermine l'autorité de certification à contacter pour les opérations de certification. Elle contient les attributs CA, URL de CA, Informations d'identification, Groupe d'approbation, Groupe d'affectation et CSR. La politique d'acheminement déclenche le flux de demande de certificats pour des CI spécifiques.

    Procédure

    1. Accédez à la Tous > Gestion des certificats > Politiques d'acheminement des certificats.
    2. Sélectionnez Nouveau et renseignez les champs obligatoires du formulaire.
      Bien qu'il soit possible d'automatiser les demandes de nouveaux certificats et de renouvellement de certificats, de nombreuses équipes PKI préfèrent les valider manuellement avant de les exécuter. Si tel est le cas, cochez la case Approbation requise .
      Remarque :
      Les champs Organisation, Unité organisationnelle, Localité, État, Pays et E-mail prennent en charge des valeurs séparées par des virgules. Le signe * correspond à n'importe quelle valeur. Le nom commun de l'objet et le nom alternatif de l'objet doivent être au format RegEx. Le format RegEx présente les restrictions suivantes :
      • Il ne doit pas contenir de virgules.
      • Il ne doit pas commencer et se terminer par une barre oblique (/). * correspond à n’importe quel domaine.
    3. Les attributs CSR suivants sont mis en correspondance avec les entrées de la table Politique d'acheminement [sn_disco_certmgmt_routing_policy] :
      • Organisation
      • Unité organisationnelle
      • Localité
      • État
      • Pays
      • E-mail
      • Environnement
      • Objectif du certificat (interne/externe)
      • Nom commun de l'objet
      • Nom alternatif de l'objet
      Remarque :
      Pour Entrust CA Gateway, il existe également les champs suivants : Identificateur de l'autorité de certification, Profil de certificat et Format de certificat. Pour Microsoft CA Gateway, utilisez également les champs suivants : autorité de certification, nom du modèle CA, adresse IP de l’hôte CA, informations d’identification et attributs CSR.
    4. Les cas de figure suivants peuvent se présenter.
      OptionDescription
      Si une politique d'acheminement unique est mise en correspondance Vérifiez les conditions suivantes :
      • Validez le nom commun de l'objet à l'aide du modèle RegEx fourni dans la table Politique d'acheminement, le nom de domaine ou *.
      • Vérifiez que la période de validité de la demande de certificat n'est pas supérieure à la période de validité maximale de la table Politique d'acheminement.
      • Vérifiez que le marqueur Demande de certificat en double est autorisé dans la table Politique d'acheminement.
      Si plusieurs politiques d'acheminement sont éligibles La tâche est affectée au groupe d'approbateurs par défaut.
      Si aucune politique d'acheminement n'est détectée La tâche est affectée au groupe d'approbateurs par défaut.
      Si une politique d'acheminement unique est mise en correspondance et que le marqueur d'approbation requise est défini sur vrai La tâche est affectée au groupe d'approbation des tâches défini dans la politique d'acheminement.

    Résultats

    Le groupe d'approbation est affecté à la politique d'acheminement et contient le rôle pki_approver et au moins l'un des membres actifs du groupe disponibles dans ce groupe. Si la politique d'acheminement nécessite une approbation manuelle, l'approbation est demandée aux membres du groupe d'approbation.