Configurer la politique d'acheminement pour la gestion automatisée des certificats

  • Rversion finale: Zurich
  • Mis à jour 7 août 2025
  • 3 minutes de lecture

    • Configurez une politique d’acheminement pour automatiser votre inventaire et votre gestion des certificats. La création d’une politique basée sur l’autorité de certification (CA), l’environnement et d’autres fonctionnalités garantit une gestion efficace des certificats TLS.

    Avant de commencer

    Rôle requis : pki_admin ou admin

    Pourquoi et quand exécuter cette tâche

    La politique d'acheminement détermine l'autorité de certification à contacter pour les opérations de certification. Elle contient les attributs CA, URL de CA, Informations d'identification, Groupe d'approbation, Groupe d'affectation et CSR. La politique d'acheminement déclenche le flux de demande de certificats pour des CI spécifiques.

    Remarque :
    Une demande de certificat est considérée comme un doublon si une autre tâche de certification portant le même nom de domaine est en cours. Les demandes de certificats en double ne sont pas autorisées. Vous pouvez toutefois modifier ce paramètre en cochant la case Autoriser les demandes en double. Actuellement, les approbations sont prises en charge uniquement dans l'expérience d'approbation du prestataire.

    Procédure

    1. Accédez à la Tous > Gestion des certificats > Politiques d'acheminement des certificats.
    2. Sélectionnez Nouveau et renseignez les champs obligatoires du formulaire.
      Bien qu'il soit possible d'automatiser les demandes de nouveaux certificats et de renouvellement de certificats, de nombreuses équipes PKI préfèrent les valider manuellement avant de les exécuter. Si tel est le cas, cochez la case Approbation requise .
      Remarque :
      Les champs Organisation, Unité organisationnelle, Localité, État, Pays et E-mail prennent en charge des valeurs séparées par des virgules. Le signe * correspond à n'importe quelle valeur. Le nom commun de l'objet et le nom alternatif de l'objet doivent être au format RegEx. Le format RegEx présente les restrictions suivantes :
      • Il ne doit pas contenir de virgules.
      • Il ne doit pas commencer et se terminer par une barre oblique (/) et * correspond à n’importe quel point.
      • Pour plus d’informations sur les champs et les valeurs d’un formulaire de politique d’acheminement, reportez-vous à la section .
    3. Les attributs CSR suivants sont mis en correspondance avec les entrées de la table Politique d'acheminement [sn_disco_certmgmt_routing_policy] :
      • Organisation
      • Unité organisationnelle
      • Localité
      • État
      • Pays
      • E-mail
      • Environnement
      • Objectif du certificat (interne/externe)
      • Nom commun de l'objet
      • Nom alternatif de l'objet
      Remarque :
      Pour Entrust CA Gateway, il existe également les champs suivants : Identificateur de l'autorité de certification, Profil de certificat et Format de certificat. Pour Microsoft l’autorité de certification, utilisez également ces champs : autorité de certification, nom du modèle CA, adresse IP de l’hôte CA, informations d’identification et attributs CSR. Pour DigiCert, la stratégie d’acheminement nécessite également un champ URL d’API de l’autorité de certification pour gérer les processus automatisés et les flux de révocation.
    4. Les cas de figure suivants peuvent se présenter.
      OptionDescription
      Si une politique d'acheminement unique est mise en correspondance Vérifiez les conditions suivantes :
      • Validez le nom commun de l'objet à l'aide du modèle RegEx fourni dans la table Politique d'acheminement, le nom de domaine ou *.
      • Vérifiez que la période de validité de la demande de certificat n'est pas supérieure à la période de validité maximale de la table Politique d'acheminement.
      • Vérifiez que le marqueur Demande de certificat en double est autorisé dans la table Politique d'acheminement.
      Si plusieurs politiques d'acheminement sont éligibles La tâche est affectée au groupe d'approbateurs par défaut.
      Si aucune politique d'acheminement n'est détectée La tâche est affectée au groupe d'approbateurs par défaut.
      Si une politique d'acheminement unique est mise en correspondance et que le marqueur d'approbation requise est défini sur vrai La tâche est affectée au groupe d'approbation des tâches défini dans la politique d'acheminement.

    Résultats

    Le groupe d'approbation est affecté à la politique d'acheminement et contient le rôle pki_approver et au moins l'un des membres actifs du groupe disponibles dans ce groupe. Si la politique d'acheminement nécessite une approbation manuelle, l'approbation est demandée aux membres du groupe d'approbation.

    Que faire ensuite

    Les articles de la base de connaissances suivants vous guident tout au long du processus de production des informations d’identification requises et de configuration des politiques de routage pour différentes autorités de certification :

    Pour Digicert, consultez [Digicert] Configurer la gestion automatisée des certificats pour les certificats TLS [KB2166364].

    Pour Entrust, consultez [Entrust] Configurer la gestion automatisée des certificats pour les certificats TLS [KB2173533].

    Pour Let’s Encrypt, consultez [Let’s Encrypt - ACME] Configurer la gestion automatisée des certificats pour les certificats TLS [KB2197962].

    Pour Microsoft CA, consultez [Microsoft CA] Configurer la gestion automatisée des certificats pour les certificats TLS [KB2198094].