Routing-Richtlinien für die automatisierte Zertifikatverwaltung einrichten

  • Freigeben Version: Zurich
  • Aktualisiert 7. August 2025
  • 2 Minuten Lesedauer

    • Richten Sie eine Weiterleitungsrichtlinie ein, um Ihre Zertifikatbestands- und -Verwaltung zu automatisieren. Das Erstellen einer Richtlinie basierend auf Zertifizierungsstelle (CA), Umgebung und anderen Funktionen stellt eine effiziente TLS-Zertifikatverwaltung sicher.

    Vorbereitungen

    Erforderliche Rolle: pki_admin oder admin

    Warum und wann dieser Vorgang ausgeführt wird

    Die Routing-Richtlinie entscheidet, welche Zertifizierungsstelle für Zertifikatvorgänge kontaktiert werden muss. Sie enthält die Attribute für die Zertifizierungsstelle, deren URL, Anmeldeinformationen, Genehmigungsgruppe, Zuweisungsgruppe und CSR. Die Routing-Richtlinie löst den Flow zum Anfordern von Zertifikaten für bestimmte Zertifizierungsstellen aus.

    Hinweis:
    Eine Zertifikatanforderung gilt als Duplikat, wenn eine weitere Zertifikataufgabe mit demselben Domänennamen vorhanden ist, die noch ausgeführt wird. Doppelte Zertifikatanforderungen sind nicht zulässig. Sie können diese Einstellung jedoch überschreiben, indem Sie das Kontrollkästchen „Allow duplicate requests“ (Duplizierte Anforderungen zulassen) aktivieren. Genehmigungen werden derzeit nur in der Genehmigungs-Experience des Erfüllers unterstützt.

    Prozedur

    1. Navigieren zu Alle > Zertifikatverwaltung > Richtlinien für Zertifikatweiterleitungan.
    2. Wählen Sie Neu, und füllen Sie die erforderlichen Felder im Formular aus.
      Während Anforderungen für neue Zertifikate und die Erneuerung von Zertifikaten automatisiert werden können, bevorzugen viele PKI-Teams eine persönliche Validierung vor der Erfüllung. Wenn ja, wählen Sie aus Genehmigung erforderlich Kontrollkästchen.
      Hinweis:
      Organisation, Organisationseinheit, Ort, Bundesland, Land und E-Mail akzeptieren kommagetrennte Werte. * wird als beliebig betrachtet. Der allgemeine Antragstellername und der alternative Antragstellername werden mit einem regulären Ausdruck unterstützt. Das RegEx-Format weist die folgenden Einschränkungen auf:
      • Darf keine Kommas enthalten.
      • Sie darf nicht mit einem Schrägstrich (/) beginnen und enden und * entspricht einem.
      • Weitere Informationen zu den Feldern und Werten in einem Weiterleitungsrichtlinienformular finden Sie unter .
    3. Die folgenden CSR-Attribute stimmen mit den Einträgen in der Tabelle „Routing-Richtlinie“ [sn_disco_certmgmt_routing_policy] überein:
      • Organisation
      • Organisationseinheit
      • Ort
      • Status
      • Land
      • E-Mail
      • Umgebung
      • Zertifikatzweck (intern/extern)
      • Allgemeiner Antragstellername
      • Alternativer Antragstellername
      Hinweis:
      Für Entrust CA Gateway gibt es auch diese Felder: „Bezeichner der Zertifizierungsstelle“, „Zertifikatprofil“ und „Zertifikatformat“. Für Microsoft CA verwendet auch diese Felder: Zertifizierungsstelle, CA-Vorlagenname, CA-Host-IP, Anmeldeinformationen und CSR-Attribute. Für DigiCert erfordert die Weiterleitungsrichtlinie auch ein URL-Feld der Zertifizierungsstellen-API, um automatisierte Prozesse und Widerrufs-Flows zu verarbeiten.
    4. Die folgenden Optionen können auftreten.
      OptionBezeichnung
      Wenn eine einzelne Routing-Richtlinie übereinstimmt Überprüfen Sie die folgenden Bedingungen:
      • Validieren Sie den allgemeinen Antragstellernamen mit dem Muster des regulären Ausdrucks, das in der Tabelle „Routing-Richtlinie“, dem Domänennamen oder * angegeben ist.
      • Überprüfen Sie, ob der Gültigkeitszeitraum der Zertifikatanforderung den maximalen Gültigkeitszeitraum in der Tabelle „Routing-Richtlinie“ nicht überschreitet.
      • Prüfen Sie auf die Kennzeichnung für zulässige duplizierte Zertifikatanforderungen in der Tabelle „Routing-Richtlinie“.
      Wenn mehrere Routing-Richtlinien in Frage kommen Die Aufgabe wird der Standardgenehmigergruppe zugewiesen.
      Wenn keine Routing-Richtlinie gefunden wurde Die Aufgabe wird der Standardgenehmigergruppe zugewiesen.
      Wenn eine einzelne Richtlinie übereinstimmt und die Kennzeichnung „Genehmigung erforderlich“ auf „true“ gesetzt ist Die Aufgabe wird der Aufgabengenehmigungsgruppe zugewiesen, die in der Routing-Richtlinie definiert ist.

    Ergebnisse

    Die Genehmigungsgruppe ist der Routing-Richtlinie zugewiesen und enthält die Rolle pki_approver und mindestens eines der aktiven Gruppenmitglieder, die in dieser Gruppe verfügbar sind. Wenn die Routing-Richtlinie eine manuelle Genehmigung erfordert, wird die Genehmigung von den Personen in der Genehmigungsgruppe angefordert.

    Nächste Maßnahme

    Die folgenden Knowledge Base-Artikel führen Sie durch den Prozess der Erstellung der erforderlichen Anmeldeinformationen und der Konfiguration von Weiterleitungsrichtlinien für verschiedene Zertifizierungsstellen:

    Informationen zu DigiCert finden Sie unter [DigiCert] automatisierte Zertifikatverwaltung für TLS-Zertifikate konfigurieren [KB2166364] .

    Informationen zu Entrust finden Sie unter [Entrust] automatisierte Zertifikatverwaltung für TLS-Zertifikate konfigurieren [KB2173533] .

    Informationen zu „Let's Encrypt“ finden Sie unter [Verschlüsseln – ACME] automatisierte Zertifikatverwaltung für TLS-Zertifikate konfigurieren [KB2197962] .

    Informationen zu Microsoft CA finden Sie unter [Microsoft CA] automatisierte Zertifikatverwaltung für TLS-Zertifikate konfigurieren [KB2198094] .