Renovar certificado usando a gestão automatizada de certificados

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 3 min. de leitura

    • Solicite a renovação de um certificado e recupere automaticamente o certificado de uma aplicação para manter serviços seguros e ininterruptos, estendendo o período de validade do certificado, evitando possíveis interrupções de serviço devido a certificados expirados.

    Antes de Iniciar

    Certifique-se de que o catálogo de Gestão de certificados esteja habilitado e que uma Política de Roteamento tenha sido criada.

    Função necessária: Administrador de PKI, Administrador, Proprietário da certificação ou Usuários que fazem parte do Grupo de responsáveis pela certificação.

    O grupo Proprietário do certificado e Proprietário do certificado contém a função Solicitante de certificado (função mínima).
    Nota:
    No momento, as aprovações só são compatíveis com a experiência de aprovação do executante.

    Por Que e Quando Desempenhar Esta Tarefa

    Os certificados do Gateway de CA Entrust não podem ser renovados no momento. Para renovar um certificado existente, solicite um novo certificado com os mesmos detalhes do certificado original. Atualmente, não há nenhuma API de renovação disponível para o Entrust CA Gateway e os certificados Microsoft de CA. Durante uma solicitação de renovação, um novo certificado é gerado internamente com os mesmos atributos do certificado selecionado.

    Para renovar um certificado existente, o CSR é obrigatório. O solicitante pode usar um CSR existente, se disponível, ou usar um novo CSR. Se você quiser usar um CSR existente, use o mesmo CSR para solicitar um novo certificado da CA. Se os campos forem inseridos, usando as APIs do Vault e Java, o CSR será gerado.

    Procedimento

    1. Navegar até Todos > Catálogo de serviços > Gestão de certificados.
    2. Clique em Renovar certificado – Fluxo automatizado.
    3. Forneça detalhes para os campos obrigatórios: CSR e período de validade.
    4. Preencha ou escolha informações adicionais no formulário e clique em Enviar para prosseguir com o pedido.

    Resultado

    1. A tabela Política de roteamento [sn_disco_certmgmt_routing_policy] ajuda a buscar o ID da política de roteamento da CA.
      • Se uma única política de roteamento não for correspondida, o aprovador deverá selecionar a CA e acionar o fluxo.
      • Se o CSR contiver um nome de domínio diferente do nome de domínio do certificado emitido, a tarefa solicitará aprovação.
      • Se uma única política de roteamento for correspondida, mas as informações do certificado de renovação não estiverem disponíveis na tabela Extensão do certificado [sn_disco_certmgmt_certificate_extension], a tarefa precisará de aprovação.
      • Os certificados não podem ser renovados se a autoridade de certificação e a ID do pedido ou os detalhes da impressão digital estiverem ausentes para o certificado na tabela Extensão do certificado [sn_disco_certmgmt_certificate_extension]. Descubra o certificado por meio da consulta de autoridade de certificação para preencher os detalhes necessários na tabela Extensão do certificado. Depois de Descoberta, selecione a política de roteamento e aprove a tarefa.
    2. Isso cria uma tarefa para o certificado solicitado que aciona o fluxo para solicitar o certificado de renovação.
    3. Depois que a solicitação é enviada, o fluxo automatizado faz a solicitação à CA para obter o certificado.
      Nota:
      A etapa Powershell é usada para Microsoft CA. Isso requer o plug-in: com.glide.hub.action_step.powershell.
    4. O ID do pedido é armazenado na tabela Tarefa de certificação [sn_disco_certmgmt_certificate_task] e na tabela Extensão da certificação [sn_disco_certmgmt_certificate_extension].
      Nota:
      Para o Entrust CA Gateway, o número de série do certificado e a ID de inscrição são obtidos. O número de série é armazenado na tabela Extensão do certificado [sn_disco_certmgmt_certificate_extension].
    5. A cada 30 minutos, o trabalho programado “DigiCert – Rastrear status do pedido de certificação” é executado e verifica o status.
    Nota:

    O sistema busca detalhes sobre o certificado selecionado na tabela Extensão do certificado [sn_disco_certmgmt_certificate_extension] e faz a solicitação à CA para renovar o certificado. Os certificados não podem ser renovados se a autoridade de certificação, o ID do pedido ou a impressão digital estiverem ausentes nesta tabela. Se, por algum motivo, os detalhes adicionais estiverem ausentes para renovar o certificado, o sistema registrará uma mensagem e sugerirá o que fazer. Nesse caso, você deve descobrir o certificado usando a descoberta baseada em CA. Para obter mais informações, consulte Executar descoberta de certificado por meio de consulta de autoridade de certificação para preencher esses detalhes na tabela Extensão de certificado.