Utiliser un flux automatisé pour la gestion des certificats

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 4 minutes de lecture

    • La gestion automatisée des certificats dans Certificate Inventory and Management rationalise les processus de certificats TLS, offrant des avantages tels qu’une efficacité accrue, une réduction des interventions manuelles et une sécurité renforcée. L’automatisation de la gestion des certificats garantit un renouvellement en temps opportun, minimise le risque d’expiration des certificats et fournit une approche systématique du cycle de vie des certificats TLS.

    Avant de commencer

    Rôle requis : pki_admin ou admin

    Pour utiliser Microsoft le flux automatisé de l’autorité de certification, vous devez installer le module d’extension ServiceNow Étape d’action - PowerShell de Centre d’intégration et disposer d’un abonnement au Centre d’intégration. Consultez Integration Hub usage and subscription pour plus d'informations.

    Procédure

    1. Définissez la propriété système sn_disco_certmgmt.cert_task_default_approval_group sur le nom du groupe d'approbation par défaut.
      Le nom du groupe d’approbation est le groupe par défaut utilisé si la demande de certificat passe en mode manuel, par exemple, s’il n’y a aucune stratégie correspondante ou plus de deux stratégies correspondantes. Vous pouvez ajouter plusieurs groupes d'approbation en les séparant par des virgules. Le premier groupe de la liste, qui appartient au domaine de tâche, est utilisé pour approbation. Si aucun groupe propre au domaine n'est trouvé, le premier nom de la liste de domaines globaux est utilisé.
    2. Pour définir la période de validité de la commande de certificat, mettez à jour la propriété sn_disco_certmgmt.default_cert_order_validity_periodsystème .
      La valeur par défaut est de 730 jours (2 ans).
    3. Configurez la politique d’acheminement pour chaque autorité de certification (par exemple, DigiCert, Entrust CA Gateway ou Microsoft CA).
      Vous pouvez définir plusieurs politiques d'acheminement pour une seule autorité de certification afin d'utiliser différents comptes pour récupérer les certificats. Pour Microsoft l’autorité de certification, vous pouvez alors soit :
      • Ajouter l’adresse IP du serveur CA dans ca_host_ip champ de la politique d’acheminement, OU
      • Ajoutez l’adresse IP d’un serveur intermédiaire dans ca_host_ip champ de la politique d’acheminement. Le serveur intermédiaire peut être n’importe quel Windows serveur qui se trouve dans le même domaine que le Microsoft serveur CA et qui a accès aux commandes certutil et certreq disponibles sur PowerShell.

        Lorsqu’un serveur intermédiaire est utilisé, exécute Serveur MID un script Powershell sur le serveur intermédiaire à l’aide de la commande Invoke, qui à son tour utilise l’appel de procédure à distance (RPC) pour exécuter les commandes certutil et certreq sur le serveur CA.

    4. Créez les informations d'identification du certificat et mappez-les sur l'alias d'identification.
      Les informations d'identification doivent être mappées sur un alias d'identification unique. Pour plus d’informations, consultez Alias d’informations d’identification pour Discovery.
    5. Assurez-vous que les tables Autorité de certification [sn_disco_certmgmt_ca] et URL de l'API de l'autorité de certification [sn_disco_certmgmt_ca_api_url] spécifient bien les informations concernant le certificat et l'URL du certificat.
      L'URL par défaut pour DigiCert fournit toutes les URL de type de validation. Vous pouvez ajouter des URL supplémentaires si vous le souhaitez.
    6. Assurez-vous que les tables Autorité de certification [sn_disco_certmgmt_ca] et URL de l'API de l'autorité de certification [sn_disco_certmgmt_ca_api_url] spécifient bien les informations concernant le certificat et l'URL du certificat.
      L'URL par défaut pour DigiCert ou Entrust CA Gateway fournit toutes les URL de type de validation. Vous pouvez ajouter des URL supplémentaires si vous le souhaitez.
    7. Assurez-vous que les tables Autorité de certification [sn_disco_certmgmt_ca] et URL de l'API de l'autorité de certification [sn_disco_certmgmt_ca_api_url] spécifient bien les informations concernant le certificat et l'URL du certificat.
      L'URL par défaut pour DigiCert ou Entrust CA Gateway fournit toutes les URL de type de validation. Vous pouvez ajouter des URL supplémentaires si vous le souhaitez.
    8. Définissez la priorité de la tâche.

      En fonction de la priorité de la tâche, la priorité et le type des demandes de changement sont mappés. La demande de changement aura la même priorité que la priorité de la tâche, à l’exception de P5 (la demande de changement n’a pas P5, donc dans ce cas, elle sera mappée sur P4).

      Pour modifier le type de demandes de changement, la propriété com.snc.change_management.change_model.type_compatibility Gestion des changements doit être définie sur true. La valeur par défaut est Faux.

      1. Définissez la tâche et modifiez la propriété sn_disco_certmgmt.default_cert_task_priority système si nécessaire pour configurer les priorités des tâches Nouvelles et Renouvellement.
        Par défaut, la priorité est définie sur P3. Les valeurs possibles sont les suivantes : 1, 2, 3, 4, 5. Si la valeur est 1, la priorité est définie sur P1, et ainsi de suite. Si une valeur non valide est spécifiée, la valeur par défaut de la priorité est rétablie, à savoir P3.
      2. Définissez la tâche et modifiez la propriété sn_disco_certmgmt.default_revoke_cert_task_priority système si nécessaire pour configurer les priorités de la tâche de révocation.
        Par défaut, la priorité est définie sur P1. Les valeurs possibles sont les suivantes : 1, 2, 3, 4, 5. Si la valeur est 1, la priorité est définie sur P1, et ainsi de suite. Si une valeur non valide est spécifiée, la valeur par défaut de la priorité est rétablie, à savoir P1.
    9. Facultatif : Installez le module d’extension Integration Hub [com.glide.hub.integrations].

      Le module d'extension [com.glide.hub.integrations] n'est pas nécessaire pour demander le certificat DigiCert et suivre le statut de la commande de certificats. Le client doit toutefois l'installer pour déboguer les actions de flux secondaire du certificat ou ajouter son propre flux de personnalisation pour DigiCert.

      Le module d'extension [com.glide.hub.integrations] n'est pas nécessaire pour demander le certificat DigiCert ou Entrust CA Gateway et suivre le statut de la commande de certificats. Le client doit toutefois l'installer pour déboguer les actions de flux secondaire du certificat ou ajouter son propre flux de personnalisation pour DigiCert ou Entrust CA Gateway.

      Le module d'extension [com.glide.hub.integrations] n'est pas nécessaire pour demander le certificat DigiCert ou Entrust CA Gateway et suivre le statut de la commande de certificats. Toutefois, si le client souhaite déboguer les actions de flux secondaire de certificat ou ajouter son propre flux de personnalisation pour DigiCert, Entrust CA Gateway ou Microsoft CA, il doit installer ce module d’extension.