[Microsoft CA] TLS 証明書の自動証明書管理の構成<!-- /*NS Branding Styles*/ --> .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } span { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } h2 { font-size: 24pt; font-family: Lato; color: var(--now-color--text-primary, black); } h3 { font-size: 18pt; font-family: Lato; color: var(--now-color--text-primary, black); } h4 { font-size: 14pt; font-family: Lato; color: var(--now-color--text-primary, black); } a { font-size: 12pt; font-family: Lato; color: var(--now-color--link-primary, #00718F); } a:hover { font-size: 12pt; color: var(--now-color--link-primary, #024F69); } a:target { font-size: 12pt; color: var(--now-color--link-primary, #032D42); } a:visited { font-size: 12pt; color: var(--now-color--link-primary, #00718f); } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } 概要 この記事では、証明書インベントリと管理ストア アプリで Microsoft CA 自動証明書管理のルーティング ポリシーと必要な資格情報を構成する手順について説明します。 開始する前に 証明書インベントリ管理プラグインをアクティブ化する必要があります。Windows MID サーバーが正しくセットアップされている必要があります。必要なロール:pki_admin または admin 注意:Microsoft 認証局の自動フローを使用するには、ServiceNow 統合ハブアクションステップ - PowerShell プラグインをインストールし、統合ハブサブスクリプションが必要です。詳細については、「 Integration Hub の使用とサブスクリプションを参照してください。 ステップ 1:認証情報の作成 この認証情報は、認証局 (CA) での認証に使用されます。 A.認証情報に移動 [接続] > [認証情報] > [認証情報] に移動します。[新規] をクリックします。適切なタイプを選択します。 Windows 認証情報 B.認証情報の詳細を入力 ユーザー名とパスワード:MS CA サーバーまたは中間サーバー (中間サーバーを使用している場合) のログイン認証情報。 このユーザーには、証明書を管理するための PowerShell アクセス権と Microsoft 認証機関コンソールアクセス権が必要です。 中間サーバーは、Microsoft CA サーバーと同じドメイン内にあり、PowerShell で使用できる certutil コマンドおよび certreq コマンドにアクセスできる任意の Windows サーバーにすることができます。中間サーバーが使用されている場合、MID サーバーは Invoke-Command を使用して中間サーバーで PowerShell スクリプトを実行します。中間サーバーはリモートプロシージャコール (RPC) を使用して CA サーバーで certutil コマンドと certreq コマンドを実行します。 名前:認証情報の適切な名前を指定します。 ステップ 2:ルーティングポリシーの作成 このルーティングポリシーは、証明書要求を適切な CA アカウントにルーティングするために使用されます。 A.[証明書ルーティングポリシー] に移動します。 証明書管理 >証明書 フローを自動化 > 証明書ルーティングポリシーへ移動します。[新規] をクリックします。 B.ルーティングポリシーの詳細を入力します。 認証局:「Microsoft CA」として [認証局] を選択します。名前:ルーティングポリシーに名前を入力します。CA ホスト IP:このフィールドに CA サーバーの IP を指定します。中間サーバーを使用する場合は中間サーバーの IP を指定します。CA テンプレート名:証明書の生成に使用する MSCA テンプレートの名前を指定する必要があります。MS CA サーバーから取得するには、次の手順に従います。 CA サーバーにログインします。Microsoft 認定機関コンソールを開きます。CA >証明書テンプレートに移動します。これにより、証明書テンプレートのリストとその説明が開きます。使用する予定のテンプレート名をコピーします。 CA 名:CA 名を<ホスト名>.<ドメイン名>\<CA Name> 形式で指定する必要があります。CA 名を見つけるには、次の手順に従います。CA サーバーにログインします。 Microsoft 認定機関コンソールを開きます。CA に移動し、CA 名をコピーします。 アサイン先グループ:このルーティングポリシーを介して要求された証明書に関連して、更新タスクなどの手動タスクをアサインするグループを選択します。最大有効期間:証明書の最大許容有効期間を日数単位で取得します。このフィールドを使用して、最大許容有効期間を制限できます。組織 ID:これは、組織によって検証された証明書要求にのみ必要です。認証情報エイリアス:これは、ステップ 1 で Digicert の認証情報を追加したものと同じである必要があります。重複要求を許可:有効にすると、同じ CSR を持つ重複要求が許可されます。承認が必要 > タスク承認グループ:新しい証明書を要求したり、証明書を更新したりする場合、多くの PKI チームは履行前に人手によって検証することを希望します。その場合は、[承認が必要] チェックボックスをオンにして、承認のためにタスクをアサインするグループを選択します。MID サーバー:このルーティングポリシーに一致するすべての要求の送信先となる特定の MID サーバーを選択できます。次のフィールドは、ルーティングポリシーを照合するために使用されます。 RegEx では、サブジェクトの共通名とサブジェクトの代替名がサポートされています。正規表現形式には次の制限があります。 カンマを含めることはできません。スラッシュ (/) で開始および終了しないでください。* はいずれかに一致します。 組織、組織単位、市区町村、州、国、およびメールは CSR 属性であり、カンマ区切りの値を受け入れます。*は任意とみなされます。環境:これは、証明書要求を異なる CA または CA のアカウントにルーティングするために使用できる単なるメタデータです。証明書の目的 (内部/外部):環境と同様に、証明書要求のルーティングに使用できます。 トラブルシューティングガイド MID サーバーが CA サーバー/中間サーバーに到達できる必要があることを確認します。証明書の要求中に次のオプションが発生する可能性があります。 オプション説明単一のルーティングポリシーが一致する場合次の条件を確認します。 ルーティングポリシーテーブル、ドメイン名、または * で指定された RegEx パターンを使用して、サブジェクトの共通名を検証します。証明書要求の有効期間がルーティングポリシーテーブルの最大有効期間を超えていないことを確認します。ルーティングポリシーテーブルで重複証明書要求が許可されているフラグを確認します。 複数のルーティングポリシーが適格である場合タスクはデフォルトの承認者グループにアサインされます。ルーティングポリシーが見つからない場合タスクはデフォルトの承認者グループにアサインされます。単一のポリシーが一致し、[承認が必要] フラグが true の場合タスクは、ルーティングポリシーで定義されたタスク承認グループにアサインされます。 注:デフォルトの承認グループは、システムプロパティ「sn_disco_certmgmt.cert_task_default_approval_group」を使用して設定できます 承認グループ名は、一致するポリシーがない場合や、一致するポリシーが 3 つ以上ある場合などに、証明書要求が手動モードに移行する場合に使用されるデフォルトのグループです。複数の承認グループをカンマで区切って追加できます。タスクドメインに属するリスト上の最初のグループが承認に使用されます。ドメイン固有のグループが見つからない場合は、グローバルドメインリストの最初の名前がデフォルトとして使用されます。