Configurar a política de roteamento para gestão automatizada de certificados

Versão de lançamento: Washingtondc

Atualizado 1 de fev. de 2024

2 min. de leitura

Configure uma política de roteamento para estabelecer a gestão de certificados automatizada na Gestão e inventário de certificados. Isso envolve a criação de uma política com base em fatores como autoridade de certificação (CA), ambiente e outros recursos, garantindo uma gestão eficiente de certificados TLS.

Antes de Iniciar

Função necessária: pki_admin ou admin

Por Que e Quando Desempenhar Esta Tarefa

Solicitações de certificado duplicadas não são permitidas. No entanto, você pode substituir essa configuração marcando a caixa de seleção Permitir solicitações duplicadas. Uma solicitação de certificação será considerada uma duplicata se houver outra tarefa de certificação com o mesmo nome de domínio que ainda esteja em andamento. No momento, as aprovações só são compatíveis com a experiência de aprovação do executante.

A política de roteamento decide qual CA deve ser contatada para operações de certificação. Ele contém a CA, a URL da CA, a Credencial, o Grupo de aprovação, o Grupo de atribuição e os atributos de CSR. A política de roteamento aciona o fluxo para solicitar certificados para CAs específicas.

Procedimento

Navegar até Todos > Gestão de certificados > Políticas de roteamento de certificação.
Selecione Novo e preencha os campos obrigatórios no formulário.
Embora as solicitações de novos certificados e a renovação de certificados possam ser automatizadas, muitas equipes de PKI preferem a validação humana antes da execução. Em caso afirmativo, marque a caixa de seleção Aprovação necessária.
Nota:
Organização, Unidade organizacional, Localidade, Estado, País e E-mail aceitam valores separados por vírgula. * será considerado como qualquer um. O nome comum do assunto e o nome alternativo do assunto são compatíveis com o RegEx. O formato RegEx tem as seguintes restrições:

Ele não deve conter vírgulas.

Ele não deve começar e terminar com uma barra (/). * corresponde a qualquer domínio.
Os seguintes atributos CSR são correspondidos com as entradas na tabela Política de roteamento [sn_disco_certmgmt_routing_policy]:
- Organização
- Unidade Organizacional
- Localidade
- Estado
- País
- E-mail
- Ambiente
- Finalidade do certificado (interno/externo)
- Nome comum do assunto
- Nome alternativo do assunto
Nota:
Para Entrust CA Gateway, também há estes campos: Identificador de autoridade de certificação, Perfil de certificado e Formato de certificado. Para Microsoft CA Gateway também use estes campos: autoridade de certificação, nome do modelo de CA, IP do host de CA, credencial e atributos de CSR.

As seguintes opções podem ocorrer.

Opção	Descrição
Se uma única política de roteamento corresponder	Verifique as seguintes condições: Valide o nome comum do assunto usando o padrão RegEx fornecido na tabela Política de roteamento, nome de domínio ou *. Verifique se o período de validade da solicitação de certificado não é maior do que o período máximo de validade na tabela Política de roteamento. Verifique se há um sinalizador de solicitação de certificado duplicado permitido na tabela Política de roteamento.
Se várias políticas de roteamento forem qualificadas	A tarefa é atribuída ao grupo de aprovadores padrão.
Se nenhuma política de roteamento for encontrada	A tarefa é atribuída ao grupo de aprovadores padrão.
Se a política única corresponder e o sinalizador de aprovação necessária for verdadeiro	A tarefa é atribuída ao grupo de aprovação de tarefa definido na política de roteamento.

Resultado

O grupo de aprovação é atribuído à política de roteamento e contém a função: pki_approver e pelo menos um dos membros do grupo ativo disponíveis nesse grupo. Se a política de roteamento exigir aprovação manual, a aprovação será solicitada daqueles no grupo de aprovação.