Utiliser un flux automatisé pour la gestion des certificats

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Certificate and Management rationalise vos processus de certificats TLS, offrant des avantages tels qu’une efficacité et une sécurité accrues. L’automatisation de la gestion des certificats garantit un renouvellement rapide des certificats, ce qui minimise le risque d’expiration des certificats.

    Avant de commencer

    Pour utiliser le flux automatisé de l’autorité de Microsoft certification, vous devez installer le module d’extension ServiceNow Étape d’action - PowerShell de Centre d’intégration et disposer d’un abonnement au Centre d’intégration. Consultez Integration Hub usage and subscription pour plus d'informations.

    Rôle requis : pki_admin ou admin

    Procédure

    1. Définissez la propriété système sn_disco_certmgmt.cert_task_default_approval_group sur le nom du groupe d'approbation par défaut.
      Si la demande de certificat passe en mode manuel, le nom du groupe d’approbation est le groupe par défaut utilisé. Par exemple, le groupe par défaut est utilisé s’il n’existe aucune stratégie correspondante ou s’il existe plusieurs stratégies correspondantes. Vous pouvez ajouter plusieurs groupes d'approbation en les séparant par des virgules. Le premier groupe de la liste, qui appartient au domaine de tâche, est utilisé pour approbation. Si aucun groupe spécifique au domaine n’est trouvé, le premier nom de la liste de domaines globale est utilisé.
    2. Pour définir la période de validité de la commande de certificat, mettez à jour la propriété sn_disco_certmgmt.default_cert_order_validity_periodsystème .
      La valeur par défaut est de 730 jours (2 ans).
    3. Ajoutez l’adresse IP du serveur CA Microsoft .
      • Ajoutez le ca_host_ip champ de la politique d’acheminement.
      • Ajoutez l’adresse IP d’un serveur intermédiaire dans ca_host_ip le champ de la politique d’acheminement.
      Le serveur intermédiaire peut être n’importe quel Windows serveur du même domaine que le Microsoft serveur CA, et a accès aux commandes certutil et certreq disponibles sur Powershell. Lorsqu’un serveur intermédiaire est utilisé, exécute Serveur MID un script Powershell sur le serveur intermédiaire à l’aide de Invoke-Command. Cette commande utilise un appel de procédure à distance (RPC) pour exécuter les commandes certutil et certreq sur le serveur CA.
    4. Créez les informations d'identification du certificat et mappez-les sur l'alias d'identification.
      Chaque information d’identification doit être mappée à l’aide d’un alias d’informations d’identification unique. Pour plus d’informations, consultez Alias d’informations d’identification pour Discovery.
    5. Confirmez que les informations relatives au certificat et à l’URL du certificat se trouvent dans les tables Autorité de certification [sn_disco_certmgmt_ca] et URL de l’API de l’autorité de certification [sn_disco_certmgmt_ca_api_url].
      L’URL par défaut pour DigiCert et Entrust CA Gateway fournit toutes les URL de type validation. Vous pouvez également ajouter des URL supplémentaires.
    6. Définissez la priorité de la tâche.

      La priorité et le type de demandes de changement sont mappés en fonction de la priorité de la tâche. Les demandes de changement ont la même priorité que la priorité d’une tâche, sauf qu’une demande de changement n’a pas P5, donc dans ce cas, elle est mappée à P4.

      Pour modifier le type de demandes de changement, la propriété com.snc.change_management.change_model.type_compatibility Gestion des changements doit être définie sur true. La valeur par défaut est faux.

      1. Si nécessaire, définissez la tâche et modifiez la propriété sn_disco_certmgmt.default_cert_task_priority système pour configurer les priorités des tâches Nouveau et Renouvelé.
        Par défaut, la priorité est définie sur P3. Les valeurs possibles sont 1, 2, 3, 4, 5. Si la valeur est 1, la priorité est définie sur P1, et ainsi de suite. Si une valeur non valide est spécifiée, la valeur par défaut de la priorité est rétablie, à savoir P3.
      2. Si nécessaire, définissez la tâche et modifiez la propriété sn_disco_certmgmt.default_revoke_cert_task_priority système pour configurer les priorités de tâche de révocation.
        Par défaut, la priorité est définie sur P1. Les valeurs possibles sont 1, 2, 3, 4, 5. Si la valeur est 1, la priorité est définie sur P1 et ainsi de suite. Si une valeur non valide est fournie, la priorité est réinitialisée à la valeur par défaut P1.
    7. Facultatif : Installez le module d’extension Integration Hub [com.glide.hub.integrations].

      Le module d’extension [com.glide.hub.integrations] n’est pas nécessaire pour demander le certificat DigiCert ou Entrust CA Gateway et suivre l’état de la commande du certificat. Toutefois, si vous souhaitez déboguer les actions de flux secondaire de certificat ou ajouter votre propre flux de personnalisation pour DigiCert ou Entrust CA Gateway, installez ce module d’extension.