証明書管理での自動フローの使用

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:4分

    • 証明書と管理は、TLS 証明書プロセスを簡素化し、効率の向上やセキュリティの強化などのメリットを提供します。証明書管理を自動化することで、証明書をタイムリーに更新できるようになり、証明書の有効期限が切れるリスクを最小限に抑えることができます。

    始める前に

    Microsoft認証局の自動フローを使用するには、ServiceNow 統合ハブアクションステップ - PowerShell プラグインをインストールする必要があり、統合ハブサブスクリプションが必要です。詳細については、「Integration Hub usage and subscription」を参照してください。

    必要なロール:pki_admin または admin

    手順

    1. システムのプロパティ sn_disco_certmgmt.cert_task_default_approval_group をデフォルトの承認グループ名に設定します。
      証明書要求が手動モードに移行すると、承認グループ名が使用されるデフォルトのグループになります。たとえば、一致するポリシーがない場合、または一致するポリシーが 3 つ以上ある場合は、デフォルトグループが使用されます。複数の承認グループをカンマで区切って追加できます。タスクドメインに属するリスト上の最初のグループが承認に使用されます。ドメイン固有のグループが見つからない場合は、グローバルドメインリストの最初の名前が使用されます。
    2. 証明書注文の有効期間を設定するには、システムのプロパティ sn_disco_certmgmt.default_cert_order_validity_period を更新します。
      デフォルトは 730 日 (2 年) です。
    3. Microsoft CA サーバーの IP を追加します。
      • ルーティングポリシーの ca_host_ip フィールドを追加します。
      • ルーティングポリシーの ca_host_ip フィールドに中間サーバーの IP を追加します。
      中間サーバーは、Microsoft CA サーバーと同じドメイン内の任意の Windows サーバーにすることができ、PowerShell で使用可能な certutil コマンドと certreq コマンドにアクセスできます。中間サーバーを使用する場合、 MID サーバー は Invoke-Command を使用して中間サーバー上で Powershell スクリプトを実行します。このコマンドは、リモート プロシージャ コール (RPC) を使用して、CA サーバー上で certutil コマンドと certreq コマンドを実行します。
    4. 証明書認証情報を作成し、認証情報エイリアスにマップします。
      各認証情報は、一意の認証情報エイリアスを使用してマッピングする必要があります。詳細については、「ディスカバリー用認証情報エイリアス」を参照してください。
    5. 証明書と証明書 URL 情報が認証局 [sn_disco_certmgmt_ca] テーブルと認証局 API URL [sn_disco_certmgmt_ca_api_url] テーブルにあることを確認します。
      DigiCert および Entrust CA Gateway のデフォルト URL は、すべての検証タイプの URL を提供します。URL を追加することもできます。
    6. タスクの優先度を設定します。

      変更要求の優先度とタイプは、タスクの優先度に基づいてマッピングされます。変更要求の優先度はタスク優先度と同じですが、変更要求には P5 がないため、この場合は P4 にマッピングされます。

      変更要求のタイプを変更するには、変更管理プロパティ com.snc.change_management.change_model.type_compatibility を true に設定する必要があります。デフォルトは [False] です。

      1. 必要に応じて、タスクを設定し、システムプロパティ sn_disco_certmgmt.default_cert_task_priority を変更して、新規タスクと更新タスクの優先度を構成します。
        優先度のデフォルトは P3 です。可能な値は 1、2、3、4、5 です。値が 1 の場合、優先度は P1 に設定され、以下同様に続きます。無効な値が指定された場合、優先度はデフォルトの P3 にリセットされます。
      2. 必要に応じて、タスクを設定し、システムプロパティ sn_disco_certmgmt.default_revoke_cert_task_priority を変更して、取り消しタスクの優先度を設定します。
        優先度のデフォルトは P1 です。指定可能な値は 1、2、3、4、5 です。値が 1 の場合、優先度は P1 に設定されるといった具合になります。無効な値が指定された場合、優先度はデフォルトの P1 にリセットされます。
    7. オプション: 統合ハブプラグイン [com.glide.hub.integrations] をインストールします。

      [com.glide.hub.integrations] プラグインは、DigiCert または Entrust CA Gateway 証明書を要求し、証明書の注文ステータスを追跡するためには必要ありません。ただし、証明書サブフローアクションをデバッグする場合、または DigiCert または Entrust CA Gateway の独自のカスタマイズフローを追加する場合は、このプラグインをインストールします。