Configurer la politique d’acheminement pour la gestion automatisée des certificats

  • Rversion finale: Yokohama
  • Mis à jour 9 sept. 2025
  • 3 minutes de lecture

    • Configurez une politique d’acheminement pour automatiser votre gestion et votre inventaire des certificats. La création d’une politique basée sur l’autorité de certification (CA), l’environnement et d’autres fonctionnalités garantit une gestion efficace des certificats TLS.

    Avant de commencer

    Rôle requis : pki_admin ou admin

    Pourquoi et quand exécuter cette tâche

    La politique d’acheminement détermine quelle autorité de certification doit être contactée pour les opérations de certificat. Il contient les attributs CA, URL CA, Informations d’identification, Groupe d’approbation, Groupe d’affectation et CSR. La politique d’acheminement déclenche le flux de demande de certificats pour des autorités de certification spécifiques.

    Remarque :
    Une demande de certificat est considérée comme un doublon s’il existe une autre tâche de certificat portant le même nom de domaine qui est toujours en cours. Les demandes de certificat en double ne sont pas autorisées. Toutefois, vous pouvez remplacer ce paramètre en cochant la case Autoriser les demandes en double. Pour l’instant, les approbations ne sont prises en charge que dans l’expérience d’approbation Prestataire. Consultez une table des champs qui entrent dans les politiques d’acheminement à l’adresse, Table de formulaires de politique d’acheminement des certificats.

    Procédure

    1. Accédez à Tous > Gestion des certificats > Politiques d'acheminement des certificats.
    2. Sélectionnez Nouveau et renseignez les champs obligatoires sur le formulaire.
      Bien que les demandes de nouveaux certificats et de renouvellement de certificats puissent être automatisées, de nombreuses équipes PKI préfèrent la validation humaine avant l’exécution. Si tel est le cas, cochez la case Approbation requise .
      Remarque :
      Organisation, Unité organisationnelle, Localité, État, Pays et E-mail acceptent les valeurs séparées par des virgules. * sera considéré comme tel. Le nom commun du sujet et le nom alternatif du sujet sont pris en charge avec RegEx. Le format RegEx présente les restrictions suivantes :
      • Il ne doit pas contenir de virgules.
      • Il ne doit pas commencer et se terminer par une barre oblique (/) et * correspond à aucune.
      • Pour plus d’informations sur les champs et les valeurs d’un formulaire de politique d’acheminement, reportez-vous à la section .
    3. Les attributs CSR suivants correspondent aux entrées de la table Politique d’acheminement [sn_disco_certmgmt_routing_policy] :
      • Organisation
      • Unité organisationnelle
      • Localité
      • État
      • Pays
      • E-mail
      • Environnement
      • Objectif du certificat (interne/externe)
      • Nom commun du sujet
      • Nom alternatif du sujet
      Remarque :
      Pour Entrust CA Gateway, il existe également ces champs : Identificateur de l’autorité de certification, Profil du certificat et Format du certificat. Pour Microsoft l’autorité de certification, utilisez également ces champs : autorité de certification, nom du modèle CA, adresse IP de l’hôte CA, informations d’identification et attributs CSR. Pour DigiCert, la stratégie de routage nécessite également un champ URL d’API de l’autorité de certification pour gérer les processus automatisés et les flux de révocation.
    4. Les options suivantes peuvent se présenter.
      OptionDescription
      Si une seule politique d’acheminement correspond Vérifiez les conditions suivantes :
      • Validez le nom commun du sujet à l’aide du modèle RegEx fourni dans la table Politique d’acheminement, nom de domaine ou *.
      • Vérifiez que la période de validité de la demande de certificat ne dépasse pas la période de validité maximale dans la table Politique d’acheminement.
      • Vérifier les doublons du marqueur La demande de certificat est autorisée dans la table Politique d’acheminement.
      Si plusieurs politiques d’acheminement sont éligibles La tâche est affectée au groupe d’approbateurs par défaut.
      Si aucune politique d’acheminement n’est trouvée La tâche est affectée au groupe d’approbateurs par défaut.
      Si une seule politique correspond et que le marqueur d’approbation nécessaire est vrai La tâche est affectée au groupe d’approbation des tâches défini dans la politique d’acheminement.

    Résultats

    Le groupe d’approbation est affecté à la politique d’acheminement et contient le rôle suivant : pki_approver et au moins un des membres actifs disponibles dans ce groupe. Si la politique d’acheminement nécessite une approbation manuelle, l’approbation est demandée aux membres du groupe d’approbation.

    Que faire ensuite

    Les articles suivants de la base de connaissances vous guident tout au long du processus de production des informations d’identification requises et de configuration des politiques d’acheminement pour différentes autorités de certification :

    Pour Digicert, consultez [Digicert] Configurer la gestion automatisée des certificats pour les certificats TLS [KB2166364].

    Pour Entrust, consultez [Entrust] Configurer la gestion automatisée des certificats pour les certificats TLS [KB2173533].

    Pour Let’s Encrypt, consultez [Let’s Encrypt - ACME] Configurer la gestion automatisée des certificats pour les certificats TLS [KB2197962].

    Pour Microsoft CA, consultez [Microsoft CA] Configurer la gestion automatisée des certificats pour les certificats TLS [KB2198094].