Utiliser un flux automatisé pour la gestion des certificats

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 4 minutes de lecture

    • La gestion automatisée des certificats dans Gestion et inventaires des certificats rationalise les processus de certificats TLS, offrant des avantages tels qu’une efficacité accrue, une réduction des interventions manuelles et une sécurité renforcée. L’automatisation de la gestion des certificats garantit un renouvellement en temps opportun, minimise le risque d’expiration des certificats et fournit une approche systématique de la gestion du cycle de vie des certificats TLS.

    Avant de commencer

    Rôle requis : pki_admin ou admin

    Procédure

    1. Définissez la propriété système sn_disco_certmgmt.cert_task_default_approval_group sur le nom du groupe d'approbation par défaut.
      Le nom de groupe d’approbation est le groupe par défaut utilisé si la demande de certificat passe en mode manuel, par exemple, s’il n’y a aucune politique correspondante ou s’il y a plus de deux politiques correspondantes. Vous pouvez ajouter plusieurs groupes d'approbation en les séparant par des virgules. Le premier groupe de la liste, qui appartient au domaine de tâche, est utilisé pour l’approbation. Si aucun groupe propre au domaine n'est trouvé, le premier nom de la liste de domaines globaux est utilisé.
    2. Pour définir la période de validité de la commande de certificat, mettez à jour la propriété sn_disco_certmgmt.default_cert_order_validity_periodsystème .
      La valeur par défaut est de 730 jours (2 ans).
    3. Configurez la politique d’acheminement pour chaque autorité de certification (par exemple, DigiCert, Entrust CA Gateway ou Microsoft CA).
      Vous pouvez définir plusieurs politiques d'acheminement pour une seule autorité de certification afin d'utiliser différents comptes pour récupérer les certificats.
    4. Créez les informations d'identification du certificat et mappez-les sur l'alias d'identification.
      Les informations d'identification doivent être mappées sur un alias d'identification unique. Pour plus d’informations, consultez Alias d’informations d’identification pour Discovery.
    5. Assurez-vous que les tables Autorité de certification [sn_disco_certmgmt_ca] et URL de l'API de l'autorité de certification [sn_disco_certmgmt_ca_api_url] spécifient bien les informations concernant le certificat et l'URL du certificat.
      L'URL par défaut pour DigiCert fournit toutes les URL de type de validation. Vous pouvez ajouter des URL supplémentaires si vous le souhaitez.
    6. Assurez-vous que les tables Autorité de certification [sn_disco_certmgmt_ca] et URL de l'API de l'autorité de certification [sn_disco_certmgmt_ca_api_url] spécifient bien les informations concernant le certificat et l'URL du certificat.
      L'URL par défaut pour DigiCert ou Entrust CA Gateway fournit toutes les URL de type de validation. Vous pouvez ajouter des URL supplémentaires si vous le souhaitez.
    7. Assurez-vous que les tables Autorité de certification [sn_disco_certmgmt_ca] et URL de l'API de l'autorité de certification [sn_disco_certmgmt_ca_api_url] spécifient bien les informations concernant le certificat et l'URL du certificat.
      L'URL par défaut pour DigiCert ou Entrust CA Gateway fournit toutes les URL de type de validation. Vous pouvez ajouter des URL supplémentaires si vous le souhaitez.
    8. Définissez la priorité de la tâche.

      En fonction de la priorité de la tâche, la priorité et le type des demandes de changement sont mappés. La demande de changement aura la même priorité que la priorité de la tâche, à l’exception de P5 (la demande de changement n’a pas P5, donc dans ce cas, elle sera mappée à P4).

      Pour changer le type de demandes de changement, la propriété com.snc.change_management.change_model.type_compatibility Gestion des changements doit être définie sur vrai. La valeur par défaut est Faux.

      1. Définissez la tâche et modifiez la propriété sn_disco_certmgmt.default_cert_task_priority système si nécessaire pour configurer les priorités de tâches nouvelles et de renouvellement.
        Par défaut, la priorité est définie sur P3. Les valeurs possibles sont les suivantes : 1, 2, 3, 4, 5. Si la valeur est 1, la priorité est définie sur P1, et ainsi de suite. Si une valeur non valide est spécifiée, la valeur par défaut de la priorité est rétablie, à savoir P3.
      2. Définissez la tâche et modifiez la propriété sn_disco_certmgmt.default_revoke_cert_task_priority système si nécessaire pour configurer les priorités Révoquer la tâche.
        Par défaut, la priorité est définie sur P1. Les valeurs possibles sont les suivantes : 1, 2, 3, 4, 5. Si la valeur est 1, la priorité est définie sur P1, et ainsi de suite. Si une valeur non valide est spécifiée, la valeur par défaut de la priorité est rétablie, à savoir P1.
    9. Facultatif : Installez le module d’extension Integration Hub [com.glide.hub.integrations].

      Le module d'extension [com.glide.hub.integrations] n'est pas nécessaire pour demander le certificat DigiCert et suivre le statut de la commande de certificats. Le client doit toutefois l'installer pour déboguer les actions de flux secondaire du certificat ou ajouter son propre flux de personnalisation pour DigiCert.

      Le module d'extension [com.glide.hub.integrations] n'est pas nécessaire pour demander le certificat DigiCert ou Entrust CA Gateway et suivre le statut de la commande de certificats. Le client doit toutefois l'installer pour déboguer les actions de flux secondaire du certificat ou ajouter son propre flux de personnalisation pour DigiCert ou Entrust CA Gateway.

      Le module d'extension [com.glide.hub.integrations] n'est pas nécessaire pour demander le certificat DigiCert ou Entrust CA Gateway et suivre le statut de la commande de certificats. Toutefois, si le client souhaite déboguer les actions de flux secondaire de certification ou ajouter son propre flux de personnalisation pour DigiCert, Entrust CA Gateway ou Microsoft CA, il doit installer ce module d’extension.