Automatisierten Flow für die Zertifikatverwaltung verwenden

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Die automatisierte Zertifikatverwaltung in Zertifikatbestand und -Verwaltung optimiert TLS-Zertifikatprozesse und bietet Vorteile wie verbesserte Effizienz, reduzierte manuelle Eingriffe und verbesserte Sicherheit. Die Automatisierung der Zertifikatverwaltung stellt eine rechtzeitige Verlängerung sicher, minimiert das Risiko abgelaufener Zertifikate und bietet einen systematischen Ansatz für die Handhabung des Lebenszyklus von TLS-Zertifikaten.

    Vorbereitungen

    Erforderliche Rolle: pki_admin oder admin

    Zu verwenden MicrosoftMicrosoft Azure Event HubsZertifizierungsstelle automatisierter Flow. Sie müssen installieren ServiceNow IntegrationHub-Aktionsschritt – PowerShell Plugin und muss über ein Integration Hub-Abonnement verfügen. Weitere Informationen finden Sie unter Integration Hub usage and subscription.

    Prozedur

    1. Legen Sie die Systemeigenschaft fest sn_disco_certmgmt.cert_task_default_approval_groupAuf den standardmäßigen Genehmigungsgruppennamen.
      Der Genehmigungsgruppenname ist die Standardgruppe, die verwendet wird, wenn die Zertifikatanforderung in den manuellen Modus wechselt, z. B. wenn keine übereinstimmende Richtlinie oder mehr als zwei übereinstimmende Richtlinien vorhanden sind. Sie können mehrere Genehmigungsgruppen durch Kommas getrennt hinzufügen. Die erste Gruppe in der Liste, die zur Aufgabendomäne gehört, wird zur Genehmigung verwendet. Wenn keine domänenspezifische Gruppe gefunden wird, wird der Vorname in der globalen Domänenliste verwendet.
    2. Aktualisieren Sie die Systemeigenschaft, um den Gültigkeitszeitraum des Zertifikatauftrags festzulegen sn_disco_certmgmt.default_cert_order_validity_period.
      Der Standardwert ist 730 Tage (2 Jahre).
    3. Richten Sie ein Weiterleitungsrichtlinie Für jede Zertifizierungsstelle (z. B. DigiCert, Entrust CA-Gateway oder MicrosoftMicrosoft Azure Event HubsCA).
      Sie können mehrere Weiterleitungsrichtlinien für eine einzelne CA definieren, um verschiedene Accounts zum Abrufen von Zertifikaten zu verwenden.
    4. Erstellen Sie die Zertifikatanmeldeinformationen, und ordnen Sie sie dem Anmeldeinformationsalias zu.
      Jede Anmeldeinformation muss einem eindeutigen Anmeldeinformationsalias zugeordnet werden. Weitere Informationen finden Sie unter Anmeldeinformationsalias für Discovery .
    5. Stellen Sie sicher, dass sich die Informationen zu Zertifikat und Zertifikat-URL in den Tabellen Zertifizierungsstelle [sn_disco_certmgmt_ca] und Zertifizierungsstellen-API-URL [sn_disco_certmgmt_ca_api_url] befinden.
      Die Standard-URL für DigiCert stellt alle Validierungstyp-URLs bereit. Sie können bei Bedarf zusätzliche URLs hinzufügen.
    6. Stellen Sie sicher, dass sich die Informationen zu Zertifikat und Zertifikat-URL in den Tabellen Zertifizierungsstelle [sn_disco_certmgmt_ca] und Zertifizierungsstellen-API-URL [sn_disco_certmgmt_ca_api_url] befinden.
      Die Standard-URL für DigiCert und Entrust CA-Gateway stellt alle Validierungstyp-URLs bereit. Sie können bei Bedarf zusätzliche URLs hinzufügen.
    7. Stellen Sie sicher, dass sich die Informationen zu Zertifikat und Zertifikat-URL in den Tabellen Zertifizierungsstelle [sn_disco_certmgmt_ca] und Zertifizierungsstellen-API-URL [sn_disco_certmgmt_ca_api_url] befinden.
      Die Standard-URL für DigiCert und Entrust CA-Gateway stellt alle Validierungstyp-URLs bereit. Sie können bei Bedarf zusätzliche URLs hinzufügen.
    8. Legen Sie die Aufgabenpriorität fest.

      Basierend auf der Priorität der Aufgabe werden die Priorität und der Typ der Change-Anforderungen zugeordnet. Change-Anforderung hat dieselbe Priorität wie Aufgabenpriorität, außer P5 (Change-Anforderung hat keine P5, daher wird sie in diesem Fall P4 zugeordnet).

      Zum Ändern des Typs von Change-Anforderungen die Eigenschaft „Change-Management“ com.snc.change_management.change_model.type_compatibilityMuss auf „wahr“ festgelegt werden. Standard ist „falsch“.

      1. Legen Sie die Aufgabe fest, und ändern Sie die Systemeigenschaft sn_disco_certmgmt.default_cert_task_priorityFalls erforderlich, um Aufgabenprioritäten „Neu“ und „verlängern“ zu konfigurieren.
        Die Priorität ist standardmäßig P3. Die möglichen Werte sind 1, 2, 3, 4, 5. Wenn der Wert 1 ist, wird die Priorität auf P1 usw. festgelegt. Wenn ein ungültiger Wert angegeben wird, wird die Priorität auf den Standardwert P3 zurückgesetzt.
      2. Legen Sie die Aufgabe fest, und ändern Sie die Systemeigenschaft sn_disco_certmgmt.default_revoke_cert_task_priorityFalls erforderlich, um Prioritäten der Stornoaufgabe zu konfigurieren.
        Die Priorität ist standardmäßig P1. Die möglichen Werte sind 1, 2, 3, 4, 5. Wenn der Wert 1 ist, wird die Priorität auf P1 usw. festgelegt. Wenn ein ungültiger Wert angegeben wird, wird die Priorität auf den Standardwert von P1 zurückgesetzt.
    9. Wahlweise: Installieren Sie das Integrations-Hub-Plugin [com.glide.hub.integrations].

      Das Plugin [com.glide.hub.integrations] ist nicht erforderlich, um das DigiCert anzufordern und den Status der Zertifikatbestellung nachzuverfolgen. Wenn der Kunde jedoch die Zertifikat-Subflow-Aktionen debuggen oder seinen eigenen Anpassungs-Flow für DigiCert hinzufügen möchte, muss er dieses Plugin installieren.

      Das Plugin [com.glide.hub.integrations] ist nicht erforderlich, um das DigiCert- oder Entrust-CA-Gateway-Zertifikat anzufordern und den Status der Zertifikatbestellung nachzuverfolgen. Wenn der Kunde jedoch die Zertifikat-Subflow-Aktionen debuggen oder seinen eigenen Anpassungs-Flow für DigiCert oder Entrust CA Gateway hinzufügen möchte, muss er dieses Plugin installieren.

      Das Plugin [com.glide.hub.integrations] ist nicht erforderlich, um das DigiCert- oder Entrust-CA-Gateway-Zertifikat anzufordern und den Status der Zertifikatbestellung nachzuverfolgen. Wenn der Kunde jedoch die Zertifikat-Subflow-Aktionen debuggen oder seinen eigenen Anpassungs-Flow für DigiCert, Entrust CA Gateway oder hinzufügen möchte MicrosoftMicrosoft Azure Event HubsCA, sie müssen dieses Plugin installieren.