Usar fluxo automatizado para gestão de certificados

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 3 min. de leitura

    • A gestão automatizada de certificados no Gestão e inventário de certificados simplifica os processos de certificação TLS, oferecendo benefícios como maior eficiência, redução da intervenção manual e segurança aprimorada. A automação da gestão de certificados garante a renovação oportuna, minimiza o risco de certificados expirados e fornece uma abordagem sistemática para lidar com o ciclo de vida dos certificados TLS.

    Antes de Iniciar

    Função necessária: pki_admin ou admin

    Procedimento

    1. Defina a propriedade do sistema sn_disco_certmgmt.cert_task_default_approval_group com o nome padrão do Grupo de aprovação.
      O nome do grupo de aprovação será o grupo padrão usado se a solicitação de certificação for movida para o modo manual, por exemplo, se não houver nenhuma política correspondente ou mais de duas políticas correspondentes. Você pode adicionar mais de um grupo de aprovação, separados por vírgulas. O primeiro grupo da lista, que pertence ao domínio da tarefa, é usado para aprovação. Se nenhum grupo específico de domínio for encontrado, o primeiro nome na lista de domínios globais será usado.
    2. Para definir o período de validade do pedido de certificação, atualize a propriedade do sistema sn_disco_certmgmt.default_cert_order_validity_period.
      O padrão é 730 dias (2 anos).
    3. Configure a política de roteamento para cada autoridade de certificação (por exemplo, DigiCert, Entrust CA Gateway ou Microsoft CA).
      Você pode definir várias políticas de roteamento para uma única CA usar contas diferentes para buscar certificados.
    4. Crie a credencial do certificado e mapeie-a para o alias de credencial.
      Cada credencial deve ser mapeada com um alias de credencial exclusivo. Para obter mais informações, consulte Alias de credencial para Descoberta.
    5. Certifique-se de que as informações do Certificado e da URL do certificado estejam nas tabelas Autoridade de certificação [sn_disco_certmgmt_ca] e URL da API da autoridade de certificação [sn_disco_certmgmt_ca_api_url].
      A URL padrão do DigiCert fornece todas as URLs do tipo de validação. Você pode adicionar URLs adicionais, se desejar.
    6. Certifique-se de que as informações do Certificado e da URL do certificado estejam nas tabelas Autoridade de certificação [sn_disco_certmgmt_ca] e URL da API da autoridade de certificação [sn_disco_certmgmt_ca_api_url].
      O URL padrão do DigiCert and Entrust CA Gateway fornece todos os URLs de tipo de validação. Você pode adicionar URLs adicionais, se desejar.
    7. Certifique-se de que as informações do Certificado e da URL do certificado estejam nas tabelas Autoridade de certificação [sn_disco_certmgmt_ca] e URL da API da autoridade de certificação [sn_disco_certmgmt_ca_api_url].
      O URL padrão do DigiCert and Entrust CA Gateway fornece todos os URLs de tipo de validação. Você pode adicionar URLs adicionais, se desejar.
    8. Defina a prioridade da tarefa.

      Com base na prioridade da tarefa, a prioridade e o tipo das solicitações de mudança são mapeados. A solicitação de mudança terá a mesma prioridade que a prioridade da tarefa, exceto P5 (a solicitação de mudança não tem P5, portanto, neste caso, ela será mapeada para P4).

      Para mudar o tipo de solicitações de mudança, a propriedade de gestão de mudanças com.snc.change_management.change_model.type_compatibility precisa ser definida como verdadeira. O padrão é falso.

      1. Defina a tarefa e altere a propriedade do sistema sn_disco_certmgmt.default_cert_task_priority, se necessário, para configurar as prioridades das tarefas Nova e Renovada.
        O padrão de prioridade é P3. Os valores possíveis são 1, 2, 3, 4, 5. Se o valor for 1, a prioridade será definida como P1 e assim por diante. Se algum valor inválido for fornecido, a prioridade será redefinida para o padrão de P3.
      2. Defina a tarefa e altere a propriedade do sistema sn_disco_certmgmt.default_revoke_cert_task_priority, se necessário, para configurar as prioridades de revogação da tarefa.
        A prioridade é P1 por padrão. Os valores possíveis são 1, 2, 3, 4, 5. Se o valor for 1, a prioridade será definida como P1 e assim por diante. Se algum valor inválido for fornecido, a prioridade será redefinida para o padrão de P1.
    9. Opcional: Instale o plug-in do Hub de integração [com.glide.hub.integrations].

      O plug-in [com.glide.hub.integrations] não é necessário para solicitar o DigiCert e rastrear o status do pedido de certificação. No entanto, se o cliente quiser depurar as ações de subfluxo de certificado ou adicionar seu próprio fluxo de personalização para o DigiCert, ele deverá instalar este plug-in.

      O plug-in [com.glide.hub.integrations] não é necessário para solicitar o certificado de gateway de CA DigiCert ou Entrust e rastrear o status do pedido de certificação. No entanto, se o cliente quiser depurar as ações de subfluxo de certificado ou adicionar seu próprio fluxo de personalização para o DigiCert ou o Entrust CA Gateway, ele deverá instalar este plug-in.

      O plug-in [com.glide.hub.integrations] não é necessário para solicitar o certificado de gateway de CA DigiCert ou Entrust e rastrear o status do pedido de certificação. No entanto, se o cliente quiser depurar as ações de subfluxo de certificado ou adicionar seu próprio fluxo de personalização para DigiCert, Entrust CA Gateway ou Microsoft CA, ele deverá instalar este plug-in.