Routing-Richtlinien für die automatisierte Zertifikatverwaltung einrichten

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Richten Sie eine Weiterleitungsrichtlinie ein, um eine automatisierte Zertifikatverwaltung in Certificate Inventory and Management einzurichten. Dies beinhaltet das Erstellen einer Richtlinie basierend auf Faktoren wie Zertifizierungsstelle (Certificate Authority, CA), Umgebung und anderen Funktionen, um eine effiziente TLS-Zertifikatverwaltung sicherzustellen.

    Vorbereitungen

    Erforderliche Rolle: pki_admin oder admin

    Warum und wann dieser Vorgang ausgeführt wird

    Doppelte Zertifikatanforderungen sind nicht zulässig. Sie können diese Einstellung jedoch überschreiben, indem Sie das Kontrollkästchen „Allow duplicate requests“ (Duplizierte Anforderungen zulassen) aktivieren. Eine Zertifikatanforderung gilt als Duplikat, wenn eine weitere Zertifikataufgabe mit demselben Domänennamen vorhanden ist, die noch ausgeführt wird. Genehmigungen werden derzeit nur in der Genehmigungs-Experience des Erfüllers unterstützt.

    Die Routing-Richtlinie entscheidet, welche Zertifizierungsstelle für Zertifikatvorgänge kontaktiert werden muss. Sie enthält die Attribute für die Zertifizierungsstelle, deren URL, Anmeldeinformationen, Genehmigungsgruppe, Zuweisungsgruppe und CSR. Die Routing-Richtlinie löst den Flow zum Anfordern von Zertifikaten für bestimmte Zertifizierungsstellen aus.

    Prozedur

    1. Navigieren zu Alle > Zertifikatverwaltung > Richtlinien für Zertifikatweiterleitung.
    2. Wählen Sie Neu, und füllen Sie die erforderlichen Felder im Formular aus.
      Während Anforderungen für neue Zertifikate und die Erneuerung von Zertifikaten automatisiert werden können, bevorzugen viele PKI-Teams eine persönliche Validierung vor der Erfüllung. Wenn ja, aktivieren Sie das Kontrollkästchen Genehmigung erforderlich.
      Hinweis:
      Organisation, Organisationseinheit, Ort, Bundesland, Land und E-Mail akzeptieren kommagetrennte Werte. * wird als beliebig betrachtet. Der allgemeine Antragstellername und der alternative Antragstellername werden mit einem regulären Ausdruck unterstützt. Für das RegEx-Format gelten die folgenden Einschränkungen:
      • Sie darf keine Kommas enthalten.
      • Es darf nicht mit einem Schrägstrich (/) beginnen und enden. * entspricht jeder Domäne
    3. Die folgenden CSR-Attribute stimmen mit den Einträgen in der Tabelle „Routing-Richtlinie“ [sn_disco_certmgmt_routing_policy] überein:
      • Organisation
      • Organisationseinheit
      • Ort
      • Status
      • Land
      • E-Mail
      • Umgebung
      • Zertifikatzweck (intern/extern)
      • Allgemeiner Antragstellername
      • Alternativer Antragstellername
      Hinweis:
      Für Entrust CA Gateway gibt es auch diese Felder: „Bezeichner der Zertifizierungsstelle“, „Zertifikatprofil“ und „Zertifikatformat“. Verwenden Sie für MicrosoftMicrosoft Azure Event Hubs CA auch diese Felder: Zertifizierungsstelle, CA-Vorlagenname, CA-Host-IP, Anmeldeinformationen und CSR-Attribute.
    4. Die folgenden Optionen können auftreten.
      OptionBezeichnung
      Wenn eine einzelne Routing-Richtlinie übereinstimmt Überprüfen Sie die folgenden Bedingungen:
      • Validieren Sie den allgemeinen Antragstellernamen mit dem Muster des regulären Ausdrucks, das in der Tabelle „Routing-Richtlinie“, dem Domänennamen oder * angegeben ist.
      • Überprüfen Sie, ob der Gültigkeitszeitraum der Zertifikatanforderung den maximalen Gültigkeitszeitraum in der Tabelle „Routing-Richtlinie“ nicht überschreitet.
      • Prüfen Sie auf die Kennzeichnung für zulässige duplizierte Zertifikatanforderungen in der Tabelle „Routing-Richtlinie“.
      Wenn mehrere Routing-Richtlinien in Frage kommen Die Aufgabe wird der Standardgenehmigergruppe zugewiesen.
      Wenn keine Routing-Richtlinie gefunden wurde Die Aufgabe wird der Standardgenehmigergruppe zugewiesen.
      Wenn eine einzelne Richtlinie übereinstimmt und die Kennzeichnung „Genehmigung erforderlich“ auf „true“ gesetzt ist Die Aufgabe wird der Aufgabengenehmigungsgruppe zugewiesen, die in der Routing-Richtlinie definiert ist.

    Ergebnisse

    Die Genehmigungsgruppe ist der Routing-Richtlinie zugewiesen und enthält die Rolle pki_approver und mindestens eines der aktiven Gruppenmitglieder, die in dieser Gruppe verfügbar sind. Wenn die Routing-Richtlinie eine manuelle Genehmigung erfordert, wird die Genehmigung von den Personen in der Genehmigungsgruppe angefordert.