Révoquer un certificat à l'aide de la gestion automatisée des certificats

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Demandez un certificat de révocation pour une application. La révocation ne nécessite aucune approbation si l'ID de commande et l'ID de certificat sont présents dans la table Extension de certificat. Si l'ID de commande et l'ID de certificat ne figurent pas dans la table Extension de certificat, la tâche requiert une approbation.

    Avant de commencer

    Assurez-vous que le catalogue de gestion des certificats est activé et qu’une politique d’acheminement est créée.

    Rôle requis : pki_admin ou admin

    Remarque :
    Actuellement, les approbations sont prises en charge uniquement dans l'expérience d'approbation du prestataire.

    Procédure

    1. Accédez à la Tout > Catalogue de services > Gestion des certificats.
    2. Sélectionnez Révoquer le certificat – Flux automatisé.
    3. Spécifiez le certificat délivré que vous souhaitez révoquer (par exemple, www.undefined.com).
      Vous pouvez sélectionner plusieurs certificats à révoquer.
    4. Indiquez un motif approprié pour révoquer le certificat.
      Pour Microsoft CA, le motif doit être une valeur entière. Si une autre valeur est fournie, une valeur par défaut de 0 sera utilisée, c’est-à-dire non spécifiée.
    5. Pour passer l’ordre de révocation, sélectionnez Soumettre.
    6. Dans la fenêtre contextuelle de confirmation, sélectionnez OK.

    Résultats

    1. Une tâche est automatiquement créée lorsque vous demandez une révocation.
      • Si l'ID de commande et l'ID de certificat sont présents dans la table Extension de certificat [sn_disco_certmgmt_certificate_extension], la révocation ne nécessite aucune approbation.
      • Si l'ID de commande et l'ID de certificat ne figurent pas dans la table Extension de certificat [sn_disco_certmgmt_certificate_extension], la révocation nécessite une approbation.
      • Si le numéro de série pour Entrust CA Gateway ne figure pas dans la table Extension de certificat [sn_disco_certmgmt_certificate_extension], la tâche sollicite l'approbation.
    2. Lorsque l'équipe PKI donne son approbation, le certificat est mappé sur l'autorité de certification en fonction de la politique d'acheminement sélectionnée.
    3. L'opération de révocation est ainsi déclenchée pour l'autorité de certification sélectionnée qui utilise les API de CA.
    4. Les détails sont stockés dans la table Extension de certificat.
    5. Toutes les 30 minutes, la tâche planifiée suivante s'exécute et vérifie l'état : DigiCert – Suivre l'état de la commande de certificats.
      Remarque :
      Il n’existe aucune tâche planifiée pour Entrust CA Gateway et Microsoft CA.
    6. Le certificat porte alors le marqueur Révoqué.
    Remarque :

    Il est impossible de révoquer les certificats si l'autorité de certification ou l'ID de commande sont manquants dans la table Extension de certificat [sn_disco_certmgmt_certificate_extension]. Pour Entrust CA Gateway, il est impossible de révoquer les certificats si le numéro de série est manquant. Découvrez le certificat via la requête de l’autorité de certification pour renseigner les détails requis dans la table d’extension de certificat. Découverte sélectionne alors la politique d'acheminement et approuve la tâche.

    Révoquez la demande d'API de certificat. Si l'attribut « skip_approval » est défini sur vrai, le processus de révocation se termine plus rapidement. Si l'attribut « skip_approval » est défini sur faux, le processus de révocation se termine lorsque l'administrateur de l'autorité de certification DigiCert ou Entrust CA Gateway approuve ou rejette la demande de révocation. Pour ignorer l'étape d'approbation, la clé d'API doit disposer de privilèges d'administrateur.