Utiliser un flux automatisé pour la gestion des certifications

  • Rversion finale: Yokohama
  • Mis à jour 31 juil. 2025
  • 3 minutes de lecture

    • Certificate and Management rationalise vos processus de certification TLS, offrant des avantages tels qu’une efficacité et une sécurité accrues. L’automatisation de la gestion des certificats garantit le renouvellement des certificats en temps opportun, ce qui minimise le risque d’expiration des certificats.

    Avant de commencer

    Pour utiliser le flux automatisé de l’autorité de Microsoft certification, vous devez installer le module d’extension Étape d’action ServiceNow Centre d’intégration - PowerShell et disposer d’un abonnement au Centre d’intégration. Consultez Integration Hub usage and subscription pour plus d'informations.

    Rôle requis : pki_admin ou admin

    Procédure

    1. Définissez la propriété sn_disco_certmgmt.cert_task_default_approval_group système sur le nom du groupe d’approbation par défaut.
      Si la demande de certificat passe en mode manuel, le nom du groupe d’approbation est le groupe utilisé par défaut. Par exemple, le groupe par défaut est utilisé s’il n’y a aucune stratégie correspondante ou s’il existe plus de deux stratégies correspondantes. Vous pouvez ajouter plusieurs groupes d’approbation, séparés par des virgules. Le premier groupe de la liste, qui appartient au domaine de tâche, est utilisé pour approbation. Si aucun groupe spécifique au domaine n’est trouvé, le premier nom de la liste de domaines globale est utilisé.
    2. Pour définir la période de validité de la commande des certificats, mettez à jour la propriété sn_disco_certmgmt.default_cert_order_validity_periodsystème .
      La valeur par défaut est de 730 jours (2 ans).
    3. Configurez la politique de routage pour chaque autorité de certification (par exemple, DigiCert, Entrust CA Gateway ou Microsoft CA).
      Vous pouvez définir plusieurs politiques d’acheminement pour une même autorité de certification afin d’utiliser différents comptes pour extraire les certificats.
    4. Ajoutez l’adresse IP du serveur CA Microsoft .
      • Ajoutez le ca_host_ip champ de la politique d’acheminement.
      • Ajoutez l’adresse IP d’un serveur intermédiaire dans ca_host_ip le champ de la politique de routage.
      Le serveur intermédiaire peut être n’importe quel Windows serveur du même domaine que le Microsoft serveur CA et a accès aux commandes certutil et certreq disponibles sur Powershell. Lorsqu’un serveur intermédiaire est utilisé, exécute Serveur MID un script Powershell sur le serveur intermédiaire à l’aide de la commande Invoke. Cette commande utilise un appel de procédure à distance (RPC) pour exécuter les commandes certutil et certreq sur le serveur CA.
    5. Créez les informations d’identification du certificat et mappez-les à l’alias d’informations d’identification.
      Chaque identifiant doit être mappé à l’aide d’un alias d’informations d’identification unique. Pour plus d’informations, consultez Alias d’informations d’identification pour Discovery.
    6. Confirmez que les informations sur le certificat et l’URL du certificat se trouvent dans les tables Autorité de certification [sn_disco_certmgmt_ca] et URL de l’API de l’autorité de certification [sn_disco_certmgmt_ca_api_url].
      L’URL par défaut pour DigiCert et Entrust CA Gateway fournit toutes les URL de type validation. Vous pouvez également ajouter des URL supplémentaires.
    7. Définissez la priorité de la tâche.

      La priorité et le type de demandes de changement sont mappés en fonction de la priorité de la tâche. Les demandes de changement ont la même priorité qu’une priorité de tâche, sauf qu’une demande de changement n’a pas P5, donc dans ce cas, elle est mappée à P4.

      Pour modifier le type de demandes de changement, la propriété com.snc.change_management.change_model.type_compatibility de gestion des changements doit être définie sur true. La valeur par défaut est Faux.

      1. Si nécessaire, définissez la tâche et modifiez la propriété sn_disco_certmgmt.default_cert_task_priority système pour configurer les priorités des tâches Nouveau et Renouvelé.
        La priorité est définie par défaut sur P3. Les valeurs possibles sont 1, 2, 3, 4, 5. Si la valeur est 1, la priorité est définie sur P1, et ainsi de suite. Si une valeur non valide est fournie, la priorité est réinitialisée à la valeur par défaut P3.
      2. Si nécessaire, définissez la tâche et modifiez la propriété sn_disco_certmgmt.default_revoke_cert_task_priority système pour configurer les priorités de la tâche de révocation.
        La priorité est définie par défaut sur P1. Les valeurs possibles sont 1, 2, 3, 4, 5. Si la valeur est 1, la priorité est définie sur P1 et ainsi de suite. Si une valeur non valide est fournie, la priorité est réinitialisée à la valeur par défaut P1.
    8. Facultatif : Installez le module d’extension Centre d’intégration [com.glide.hub.integrations].

      Le module d’extension [com.glide.hub.integrations] n’est pas nécessaire pour demander le certificat DigiCert ou Entrust CA Gateway et suivre l’état de la commande du certificat. Toutefois, si vous souhaitez déboguer les actions de flux secondaire de certificat ou ajouter votre propre flux de personnalisation pour DigiCert ou Entrust CA Gateway, installez ce module d’extension.