Automatisierte Flows für die Zertifikatverwaltung verwenden

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Certificate and Management optimiert Ihre TLS-Zertifikatprozesse und bietet Vorteile wie verbesserte Effizienz und erhöhte Sicherheit. Die Automatisierung der Zertifikatverwaltung stellt eine rechtzeitige Erneuerung von Zertifikaten sicher, wodurch das Risiko abgelaufener Zertifikate minimiert wird.

    Vorbereitungen

    Zur Verwendung von Microsoft Automatisierter Flow der Zertifizierungsstelle. Sie müssen installieren ServiceNow IntegrationHub-Aktionsschritt – PowerShell Plugin und muss über ein Integration Hub-Abonnement verfügen. Weitere Informationen finden Sie unter Integration Hub usage and subscription.

    Erforderliche Rolle: pki_admin oder admin

    Prozedur

    1. Legen Sie die Systemeigenschaft sn_disco_certmgmt.cert_task_default_approval_group auf den Standardnamen der Genehmigungsgruppe fest.
      Wenn die Zertifikatanforderung in den manuellen Modus wechselt, wird der Name der Genehmigungsgruppe als Standardgruppe verwendet. Beispielsweise wird die Standardgruppe verwendet, wenn keine übereinstimmende Richtlinie oder mehr als zwei übereinstimmende Richtlinien vorhanden sind. Sie können mehrere durch Kommata getrennte Genehmigungsgruppen hinzufügen. Die erste Gruppe in der Liste, die zur Aufgabendomäne gehört, wird zur Genehmigung verwendet. Wenn keine domänenspezifische Gruppe gefunden wird, wird der erste Name in der globalen Domänenliste verwendet.
    2. Aktualisieren Sie die Systemeigenschaft, um den Gültigkeitszeitraum des Zertifikatauftrags festzulegen sn_disco_certmgmt.default_cert_order_validity_period.
      Der Standardwert ist 730 Tage (2 Jahre).
    3. Richten Sie ein Weiterleitungsrichtlinie Für jede Zertifizierungsstelle (z. B. DigiCert, Entrust CA Gateway oder Microsoft CA).
      Sie können mehrere Routing-Richtlinien für eine einzelne CA definieren, um verschiedene Konten zum Abrufen von Zertifikaten zu verwenden.
    4. Fügen Sie die IP von hinzu Microsoft CA-Server.
      • Fügen Sie hinzu ca_host_ipFeld der Weiterleitungsrichtlinie.
      • Fügen Sie die IP eines Zwischenservers in hinzu ca_host_ipFeld der Weiterleitungsrichtlinie.
      Der Zwischenserver kann beliebig sein Windows Server in derselben Domäne wie Microsoft CA-Server und hat Zugriff auf die in Powershell verfügbaren Befehle certutil und certreq. Wenn ein Zwischenserver verwendet wird, wird MID-Server Führt ein Powershell-Skript auf dem Zwischenserver mithilfe von „invoke-Command“ aus. Dieser Befehl verwendet einen Remote Procedure Call (RPC), um die certutil- und certreq-Befehle auf dem CA-Server auszuführen.
    5. Erstellen Sie die Zertifikatanmeldeinformationen, und ordnen Sie diese dem Anmeldeinformationsalias zu.
      Jede Anmeldeinformation sollte mit einem eindeutigen Anmeldeinformationsalias zugeordnet werden. Weitere Informationen finden Sie unter Anmeldeinformationsalias für Discovery .
    6. Bestätigen Sie, dass sich die Informationen zu Zertifikat und Zertifikat-URL in den Tabellen „Zertifizierungsstelle“ [sn_Disco_certmgmt_CA] und „API-URL der Zertifizierungsstelle“ [sn_Disco_certmgmt_ca_api_url] befinden.
      Die Standard-URL für DigiCert und Entrust CA Gateway stellt alle Validierungstyp-URLs bereit. Sie können auch zusätzliche URLs hinzufügen.
    7. Legen Sie die Aufgabenpriorität fest.

      Die Priorität und der Typ der Change-Anforderungen werden basierend auf der Priorität der Aufgabe zugeordnet. Change-Anforderungen haben die gleiche Priorität wie eine Aufgabenpriorität, außer dass eine Change-Anforderung keine P5 hat, daher wird sie in diesem Fall P4 zugeordnet.

      Um den Typ von Change-Anforderungen zu ändern, die Eigenschaft „Change-Management“ com.snc.change_management.change_model.type_compatibilityMuss auf „wahr“ festgelegt werden. Der Standardwert ist False.

      1. Legen Sie bei Bedarf die Aufgabe fest, und ändern Sie die Systemeigenschaft sn_disco_certmgmt.default_cert_task_priorityZum Konfigurieren der Prioritäten „Neu“ und „Verlängerungsaufgabe“.
        Die Priorität ist standardmäßig P3. Die möglichen Werte sind 1, 2, 3, 4, 5. Wenn der Wert 1 ist, wird die Priorität auf P1 festgelegt usw. Wenn ein ungültiger Wert angegeben ist, wird die Priorität auf den Standardwert P3 zurückgesetzt.
      2. Legen Sie bei Bedarf die Aufgabe fest, und ändern Sie die Systemeigenschaft sn_disco_certmgmt.default_revoke_cert_task_priorityDient zum Konfigurieren von Prioritäten für Widerrufsaufgaben.
        Die Priorität ist standardmäßig P1. Die möglichen Werte sind 1, 2, 3, 4, 5. Wenn der Wert 1 ist, wird die Priorität auf P1 festgelegt usw. Wenn ein ungültiger Wert angegeben ist, wird die Priorität auf den Standardwert P1 zurückgesetzt.
    8. Wahlweise: Installieren Sie das Plugin „Integration Hub“ [com.glide.hub.integrations].

      Das Plugin [com.glide.hub.integrations] ist nicht erforderlich, um das DigiCert- oder Entrust-CA-Gateway-Zertifikat anzufordern und den Status der Zertifikatbestellung nachzuverfolgen. Wenn Sie jedoch die Zertifikat-Subflow-Aktionen debuggen oder Ihren eigenen Anpassungs-Flow für DigiCert oder Entrust CA Gateway hinzufügen möchten, installieren Sie dieses Plugin.