Usar fluxo automatizado para gestão de certificados

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 4 min. de leitura

    • A gestão automatizada de certificados no inventário e gestão de certificados simplifica os processos de certificação TLS, oferecendo benefícios como maior eficiência, redução da intervenção manual e segurança aprimorada. A automação da gestão de certificados garante a renovação oportuna, minimiza o risco de certificados expirados e fornece uma abordagem sistemática para lidar com o ciclo de vida dos certificados TLS.

    Antes de Iniciar

    Função necessária: pki_admin ou admin

    Procedimento

    1. Defina a propriedade do sistema sn_disco_certmgmt.cert_task_default_approval_group como o nome do grupo de aprovação padrão.
      O nome do grupo de aprovação será o grupo padrão usado se a solicitação de certificação for movida para o modo manual, por exemplo, se não houver nenhuma política correspondente ou mais de duas políticas correspondentes. Você pode adicionar mais de um grupo de aprovação, separados por vírgulas. O primeiro grupo da lista, que pertence ao domínio da tarefa, é usado para aprovação. Se nenhum grupo específico de domínio for encontrado, o primeiro nome na lista de domínios globais será usado.
    2. Para definir o período de validade do pedido de certificação, atualize a propriedade do sistema sn_disco_certmgmt.default_cert_order_validity_period.
      O padrão é 730 dias (2 anos).
    3. Configure a política de roteamento para cada autoridade de certificação (por exemplo, DigiCert, Entrust ou Microsoft CA Gateway).
      Você pode definir várias políticas de roteamento para uma única CA para usar contas diferentes para buscar certificados. Para Microsoft CA, você pode:
      • Adicionar o IP do servidor CA no campo ca_host_ip da política de roteamento, OU
      • Adicione o IP de um servidor intermediário no campo ca_host_ip da política de roteamento. O servidor intermediário pode ser qualquer servidor Windows que esteja no mesmo domínio que o Servidor CA Microsoft e tenha acesso aos comandos certutil e certreq disponíveis no PowerShell.

        Quando um servidor intermediário é usado, o MID Server executa um script Powershell no servidor intermediário usando Invoke-Command, que por sua vez usa Chamada de procedimento remoto (RPC) para executar os comandos certutil e certreq no servidor CA.

    4. Crie a credencial do certificado e mapeie-a para o alias de credencial.
      Cada credencial deve ser mapeada com um alias de credencial exclusivo. Para obter mais informações, consulte Alias de credencial do Discovery.
    5. Certifique-se de que as informações do certificado e do URL do certificado estejam nas tabelas Autoridade de certificação [sn_disco_certmgmt_ca] e URL da API da autoridade de certificação [sn_disco_certmgmt_ca_api_url].
      O URL padrão do DigiCert fornece todos os URLs de tipo de validação. Você pode adicionar URLs adicionais, se desejar.
    6. Certifique-se de que as informações do certificado e do URL do certificado estejam nas tabelas Autoridade de certificação [sn_disco_certmgmt_ca] e URL da API da autoridade de certificação [sn_disco_certmgmt_ca_api_url].
      O URL padrão do DigiCert e do Entrust CA Gateway fornece todos os URLs de tipo de validação. Você pode adicionar URLs adicionais, se desejar.
    7. Certifique-se de que as informações do certificado e do URL do certificado estejam nas tabelas Autoridade de certificação [sn_disco_certmgmt_ca] e URL da API da autoridade de certificação [sn_disco_certmgmt_ca_api_url].
      O URL padrão do DigiCert e do Entrust CA Gateway fornece todos os URLs de tipo de validação. Você pode adicionar URLs adicionais, se desejar.
    8. Defina a prioridade da tarefa.

      Com base na prioridade da tarefa, a prioridade e o tipo de solicitações de mudança são mapeados. A solicitação de mudança terá a mesma prioridade da prioridade da tarefa, exceto P5 (a solicitação de mudança não tem P5, portanto, neste caso, será mapeada para P4).

      Para mudar o tipo de solicitações de mudança, a propriedade de gerenciamento de mudanças com.snc.change_management.change_model.type_compatibility precisa ser definida como verdadeiro. O padrão é Falso.

      1. Defina a tarefa e altere a propriedade do sistema sn_disco_certmgmt.default_cert_task_priority se necessário para configurar as prioridades de tarefa Nova e Renovada.
        A prioridade é padronizada como P3. Os valores possíveis são 1, 2, 3, 4, 5. Se o valor for 1, a prioridade será definida como P1 e assim por diante. Se algum valor inválido for fornecido, a prioridade será redefinida para o padrão de P3.
      2. Defina a tarefa e altere a propriedade do sistema sn_disco_certmgmt.default_revoke_cert_task_priority se necessário para configurar Revogar prioridades de tarefa.
        A prioridade é padronizada como P1. Os valores possíveis são 1, 2, 3, 4, 5. Se o valor for 1, a prioridade será definida como P1 e assim por diante. Se algum valor inválido for fornecido, a prioridade será redefinida para o padrão de P1.
    9. Opcional: Instale o plug-in Integration Hub [com.glide.hub.integrations].

      O plug-in [com.glide.hub.integrations] não é necessário para solicitar o DigiCert e rastrear o status do pedido de certificação. No entanto, se o cliente quiser depurar as ações de subfluxo de certificado ou adicionar seu próprio fluxo de personalização para o DigiCert, ele deverá instalar este plug-in.

      O plug-in [com.glide.hub.integrations] não é necessário para solicitar o certificado DigiCert ou Entrust CA Gateway e rastrear o status do pedido de certificado. No entanto, se o cliente quiser depurar as ações de subfluxo de certificado ou adicionar seu próprio fluxo de personalização para DigiCert ou Entrust CA Gateway, ele deverá instalar este plug-in.

      O plug-in [com.glide.hub.integrations] não é necessário para solicitar o certificado DigiCert ou Entrust CA Gateway e rastrear o status do pedido de certificado. No entanto, se o cliente quiser depurar as ações de subfluxo de certificado ou adicionar seu próprio fluxo de personalização para DigiCert, Entrust ou Microsoft CA Gateway, ele deverá instalar este plug-in.