Utiliser un flux automatisé pour la gestion des certificats

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 4 minutes de lecture

    • La gestion automatisée des certificats dans Certificate Inventory and Management rationalise les processus de certification TLS, offrant ainsi des avantages tels qu’une efficacité accrue, une réduction des interventions manuelles et une sécurité renforcée. L’automatisation de la gestion des certificats garantit un renouvellement dans les délais, minimise le risque d’expiration des certificats et fournit une approche systématique de la gestion du cycle de vie des certificats TLS.

    Avant de commencer

    Rôle requis : pki_admin ou admin

    Procédure

    1. Définissez la propriété système sn_disco_certmgmt.cert_task_default_approval_group sur le nom du groupe d'approbation par défaut.
      Le nom du groupe d’approbation est le groupe par défaut utilisé si la demande de certificat passe en mode manuel, par exemple, en l’absence de politique de correspondance ou s’il en existe plus de deux. Vous pouvez ajouter plusieurs groupes d'approbation en les séparant par des virgules. Le premier groupe de la liste, qui appartient au domaine de la tâche, est utilisé pour l’approbation. Si aucun groupe propre au domaine n'est trouvé, le premier nom de la liste de domaines globaux est utilisé.
    2. Pour définir la période de validité de la commande de certificats, mettez à jour la propriété sn_disco_certmgmt.default_cert_order_validity_periodsystème .
      La valeur par défaut est de 730 jours (2 ans).
    3. Configurez la politique d’acheminement pour chaque autorité de certification (par exemple, DigiCert, Entrust ou Microsoft CA Gateway).
      Vous pouvez définir plusieurs politiques d'acheminement pour une seule autorité de certification afin d'utiliser différents comptes pour récupérer les certificats. Dans le cas Microsoft de l’AC, vous pouvez alors effectuer les opérations suivantes :
      • Ajouter l’adresse IP du serveur CA dans ca_host_ip champ de la politique d’acheminement, OU
      • Ajoutez l’adresse IP d’un serveur intermédiaire dans ca_host_ip champ de la politique d’acheminement. Le serveur intermédiaire peut être n’importe quel Windows serveur qui se trouve dans le même domaine que le Microsoft serveur CA et qui a accès aux commandes certutil et certreq disponibles sur PowerShell.

        Lorsqu’un serveur intermédiaire est utilisé, exécute Serveur MID un script Powershell sur le serveur intermédiaire à l’aide de la commande Invoke-Command, qui à son tour utilise l’appel de procédure distant (RPC) pour exécuter les commandes certutil et certreq sur le serveur CA.

    4. Créez les informations d'identification du certificat et mappez-les sur l'alias d'identification.
      Les informations d'identification doivent être mappées sur un alias d'identification unique. Pour plus d’informations, consultez Alias d’informations d’identification pour Discovery.
    5. Assurez-vous que les tables Autorité de certification [sn_disco_certmgmt_ca] et URL de l'API de l'autorité de certification [sn_disco_certmgmt_ca_api_url] spécifient bien les informations concernant le certificat et l'URL du certificat.
      L'URL par défaut pour DigiCert fournit toutes les URL de type de validation. Vous pouvez ajouter des URL supplémentaires si vous le souhaitez.
    6. Assurez-vous que les tables Autorité de certification [sn_disco_certmgmt_ca] et URL de l'API de l'autorité de certification [sn_disco_certmgmt_ca_api_url] spécifient bien les informations concernant le certificat et l'URL du certificat.
      L'URL par défaut pour DigiCert ou Entrust CA Gateway fournit toutes les URL de type de validation. Vous pouvez ajouter des URL supplémentaires si vous le souhaitez.
    7. Assurez-vous que les tables Autorité de certification [sn_disco_certmgmt_ca] et URL de l'API de l'autorité de certification [sn_disco_certmgmt_ca_api_url] spécifient bien les informations concernant le certificat et l'URL du certificat.
      L'URL par défaut pour DigiCert ou Entrust CA Gateway fournit toutes les URL de type de validation. Vous pouvez ajouter des URL supplémentaires si vous le souhaitez.
    8. Définissez la priorité de la tâche.

      En fonction de la priorité de la tâche, la priorité et le type des demandes de changement sont mappés. La priorité de la demande de changement sera la même que celle de la tâche, à l’exception de P5 (la demande de changement ne disposant pas de priorité P5, elle sera dans ce cas mappée sur la priorité P4).

      Pour modifier le type de demandes de changement, la propriété com.snc.change_management.change_model.type_compatibility Change Management doit être définie sur vrai. La valeur par défaut est Faux.

      1. Définissez la tâche et modifiez la propriété sn_disco_certmgmt.default_cert_task_priority système si nécessaire pour configurer et renouveler les priorités des tâches.
        Par défaut, la priorité est définie sur P3. Les valeurs possibles sont les suivantes : 1, 2, 3, 4, 5. Si la valeur est 1, la priorité est définie sur P1, et ainsi de suite. Si une valeur non valide est spécifiée, la valeur par défaut de la priorité est rétablie, à savoir P3.
      2. Définissez la tâche et modifiez la propriété sn_disco_certmgmt.default_revoke_cert_task_priority système si nécessaire pour configurer les priorités des tâches révoquées.
        Par défaut, la priorité est définie sur P1. Les valeurs possibles sont les suivantes : 1, 2, 3, 4, 5. Si la valeur est 1, la priorité est définie sur P1, et ainsi de suite. Si une valeur non valide est spécifiée, la valeur par défaut de la priorité est rétablie, à savoir P1.
    9. Facultatif : Installez le module d’extension Integration Hub [com.glide.hub.integrations].

      Le module d'extension [com.glide.hub.integrations] n'est pas nécessaire pour demander le certificat DigiCert et suivre le statut de la commande de certificats. Le client doit toutefois l'installer pour déboguer les actions de flux secondaire du certificat ou ajouter son propre flux de personnalisation pour DigiCert.

      Le module d'extension [com.glide.hub.integrations] n'est pas nécessaire pour demander le certificat DigiCert ou Entrust CA Gateway et suivre le statut de la commande de certificats. Le client doit toutefois l'installer pour déboguer les actions de flux secondaire du certificat ou ajouter son propre flux de personnalisation pour DigiCert ou Entrust CA Gateway.

      Le module d'extension [com.glide.hub.integrations] n'est pas nécessaire pour demander le certificat DigiCert ou Entrust CA Gateway et suivre le statut de la commande de certificats. Le client doit toutefois l’installer pour déboguer les actions de flux secondaire du certificat ou ajouter son propre flux de personnalisation pour DigiCert, Entrust ou Microsoft CA Gateway.