Renouveler un certificat à l'aide de la gestion automatisée des certificats

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Demandez le renouvellement d’un certificat et récupérez automatiquement le certificat d’une application afin de maintenir des services sécurisés et ininterrompus en prolongeant la période de validité du certificat, évitant ainsi d’éventuelles interruptions de service dues à des certificats expirés.

    Avant de commencer

    Assurez-vous que le catalogue de gestion des certificats est activé et qu’une politique d’acheminement est créée.

    Rôle requis : administrateur PKI, admin, propriétaire de certificat ou utilisateur faisant partie du groupe propriétaire du certificat.

    Le propriétaire du certificat et le groupe propriétaire du certificat contiennent le rôle Demandeur de certificat (rôle minimal).
    Remarque :
    Actuellement, les approbations sont prises en charge uniquement dans l'expérience d'approbation du prestataire.

    Pourquoi et quand exécuter cette tâche

    il est pour l'instant impossible de renouveler les certificats Entrust CA Gateway. Pour renouveler un certificat existant, demandez un nouveau certificat avec les mêmes détails que le certificat d'origine. À l’heure actuelle, aucune API de renouvellement n’est disponible pour Entrust CA Gateway et Microsoft les certificats CA. Lors d’une demande de renouvellement, un nouveau certificat est généré en interne avec les mêmes attributs que le certificat sélectionné.

    Pour renouveler un certificat existant, la demande de signature de certificat (CSR) est obligatoire. Le demandeur peut utiliser une CSR existante si elle est disponible ou utiliser une nouvelle CSR. Si vous souhaitez utiliser une CSR existante, utilisez la même CSR pour demander un nouveau certificat auprès de l'autorité de certification. Si les champs sont renseignés à l'aide des API vault et java, la CSR est générée.

    Procédure

    1. Accédez à la Tout > Catalogue de services > Gestion des certificats.
    2. Cliquez sur Renouveler le certificat – Flux automatisé.
    3. Fournissez des détails pour les champs obligatoires : CSR et Période de validité.
    4. Remplissez ou choisissez des informations supplémentaires sur le formulaire, puis cliquez sur Soumettre pour traiter la commande.

    Résultats

    1. La table Politique d'acheminement [sn_disco_certmgmt_routing_policy] permet d'extraire l'ID de politique d'acheminement de l'autorité de certification.
      • Si aucune politique d'acheminement unique ne correspond, l'approbateur doit sélectionner l'autorité de certification et déclencher le flux.
      • Si la CSR contient un nom de domaine différent de celui du certificat émis, la tâche requiert une approbation.
      • Si une politique d'acheminement unique est mise en correspondance, mais que les informations de certificat de renouvellement ne sont pas disponibles dans la table Extension de certificat [sn_disco_certmgmt_certificate_extension], la tâche requiert une approbation.
      • Il est impossible de renouveler les certificats si l'autorité de certification et l'ID de commande ou l'empreinte digitale sont manquants dans la table Extension de certificat [sn_disco_certmgmt_certificate_extension]. Découvrez le certificat via la requête de l’autorité de certification pour renseigner les détails requis dans la table d’extension de certificat. Une fois la fonction Découverte exécutée, sélectionnez la politique d'acheminement et approuvez la tâche.
    2. Une tâche est créée pour le certificat commandé, ce qui déclenche le flux de demande d'un certificat de renouvellement.
    3. Une fois la demande envoyée, le flux automatisé sollicite le certificat auprès de l'autorité de certification.
      Remarque :
      L’étape Powershell est utilisée pour l’autorité de Microsoft certification. Cela nécessite le module d’extension : com.glide.hub.action_step.powershell.
    4. L'ID de commande est ensuite stocké dans la table Tâche de certification [sn_disco_certmgmt_certificate_task] et dans la table Extension de certificat [sn_disco_certmgmt_certificate_extension].
      Remarque :
      pour Entrust CA Gateway, le numéro de série et l'ID d'inscription du certificat sont récupérés. Le numéro de série est stocké dans la table Extension de certificat [sn_disco_certmgmt_certificate_extension].
    5. Toutes les 30 minutes, la tâche planifiée « DigiCert – Suivre l'état de la commande de certificats » s'exécute et vérifie l'état.
    Remarque :

    Le système récupère les détails du certificat sélectionné à partir de la table Extension de certificat [sn_disco_certmgmt_certificate_extension] et demande à l'autorité de certification de renouveler le certificat. Il est impossible de renouveler les certificats si l'autorité de certification, l'ID de commande ou l'empreinte digitale sont manquants dans cette table. Si, pour une raison quelconque, ces détails supplémentaires sont manquants pour renouveler le certificat, le système génère un message et fournit des instructions pour résoudre le problème. Dans ce cas, vous devez détecter le certificat à l'aide de la fonction de détection basée sur l'autorité de certification. Pour plus d’informations, consultez Exécuter la détection de certificat via une requête d’autorité de certification pour renseigner ces détails dans la table d’extension de certificat.