Programmez les événements d'automatisation.
Avant de commencer
Vérifiez qu'au moins un agent ACME ou capteur est installé et activé.
Vérifiez que votre agent ACME ou votre capteur est configuré pour l'automatisation.
Créez au moins un profil d'automatisation.
Créez un événement d'automatisation de certificat
Dans votre compte CertCentral, depuis le menu principal à gauche, cliquez sur Automation > Automated IPs (Automatisation > IP automatisées).
Sur la page Automated IPs (IP automatisées), recherchez le certificat que vous souhaitez automatiser.
Dans la colonne Actions, sélectionnez l’option appropriée depuis le menu déroulant :
Demander un certificat
Demander un nouveau certificat lorsqu'aucun certificat n’est encore configuré pour un IP/Port donné.
Passer à DigiCert
Remplacer un certificat émis par une autre autorité de certificat (AC) par un certificat DigiCert.
Renouveler
En l'absence de plans pluriannuels : Lorsqu'un certificat a expiré ou doit expirer dans moins de 90 jours.
Plans pluriannuels Lorsqu'une commande et/ou un plan pluriannuel a expiré ou doit expirer dans moins de 90 jours.
Réémettre
En l'absence de plans pluriannuels : Lorsqu'un certificat actif est révoqué ou manquant.
(Remarque : Le certificat sera réémis avec la durée de validité qui restait au certificat original.)
Plans pluriannuels Lorsqu'un certificat émis dans le cadre d'un plan pluriannuel doit être remplacé, est révoqué, ou est absent.
(Remarque : Le certificat sera réémis avec la durée de validité maximale autorisée, ou avec la durée de validité restante sur le plan pluriannuel.)
Obtenir votre prochain certificat
Plans pluriannuels Quand un certificat actif d'un plan pluriannuel est sur le point d’expirer dans moins de 30 jours.
(Remarque : Tant que le plan pluriannuel n’a pas expiré, vous pouvez réémettre ou obtenir votre prochain certificat sans frais supplémentaires chaque fois qu'il atteint la fin de sa période de validité.)
Soumettre une demande manuelle
Lorsque vous souhaitez demander manuellement un certificat.
Sélectionnez ou créez un profil d'automation pour cet événement.
(Facultatif) Sélectionnez Issue a duplicate certificate using an existing order (Émettre un certificat dupliqué en utilisant une commande existante) pour demander un duplicata du certificat qui est automatisé avec une commande existante.
Saisissez le nom commun et les autres noms d’objet que vous souhaitez sécuriser avec le certificat.
Le cas échéant, sélectionnez toutes les options supplémentaires adaptées au cas d'utilisation. Reportez-vous aux remarques sur les cas d'utilisation ci-dessous.
Fixez l'heure à laquelle l'automation doit commencer - immédiatement ou prévue à l'avance.
(Facultatif) Configurez le certificat pour qu'il soit renouvelé et installé automatiquement vers la fin de sa période de validité.
Veuillez lire et comprendre le contrat, puis sélectionnez I agree to the Certificate Services Agreement above (J’accepte le Contrat de services de certification ci-dessus).
Sélectionnez Start automation (Démarrer l’automation) ou Schedule automation (Programmer l’automation).
Remarques sur les cas d'utilisation : Équilibreurs de charge Citrix NetScaler
Prérequis pour l'automatisation de certificats sur Citrix NetScaler :
Vous ne pouvez pas automatiser un certificat dont le statut apparait comme « IP unreachable » (IP injoignable). Un statut « IP unreachable » (IP injoignable) fait référence aux serveurs virtuels non adressables où le certificat PFX est présent.
Lorsque vous programmez des événements d'automatisation de certificats pour un équilibreur de charge Citrix NetScaler :
Assurez-vous que l'organisation associée au profil d'automatisation choisi possède des informations concernant le pays, l'état et la localité (CSL). Ces renseignements sont nécessaires pour générer le CSR et automatiser l'équilibreur de charge.
Lorsque vous demandez l'automatisation sur le port HTTP et que vous souhaitez rediriger le trafic après l'automatisation, saisissez le port de redirection HTTPS de l'instance HTTP pour l'adresse IP virtuelle.
Note
During automation, we create an HTTPS virtual server with a new certificate. When successful, automation redirects the traffic to the HTTPS instance on the specified port.
Remarques sur les cas d'utilisation : Équilibreurs de charge F5 BIG-IP
Lorsque vous programmez des événements d'automatisation pour un équilibreur de charge F5 BIG-IP :
(Facultatif) Sélectionnez Private key security type (Type de sécurité de la clé privée) pour indiquer le mode de stockage de vos clés privées.
Normal: Stocker la clé privée dans l'équilibreur de charge F5 BIG-IP lui-même.
FIPS: Stocker la clé privée dans le module compatible FIPS (Federal Information Processing Standards) de l’équilibreur de charge F5 BIG-IP.
NetHSM: Stocker la clé privée dans le module de sécurité matérielle (Hardware Security Module, HSM) connecté à l'équilibreur de charge F5 BIG-IP.
(Remarque : Ce paramètre peut également être configuré depuis la vue Manage automation (Gérer l’automatisation) de CertCentral. Consultez Vérifier et finaliser la configuration de votre capteur.)
Remarques sur les cas d'utilisation : Automatisations de certificats DV
Prérequis pour l’automatisation de certificats DV :
Créer une intégration DNS pour automatiser les certificats DV sur les équilibreurs de charge :
Assurez-vous de bien acttiver les paramètres de validation pour les domaines spécifiques concernés :
Dans votre compte CertCentral, dans le menu à gauche, cliquez sur Settings > Preferences (Paramètres > Préférences).
Sur la page des préférences, développez le menu Advanced Settings (Paramètres avancés).
Sous Domain Control Validation (Validation de contrôle du domaine), dans la section Validation Scope (Portée de la validation), sélectionnez Submit exact domain names for validation (Soumettre les noms de domaine exacts à valider).
Sélectionnez Save Settings (Enregistrer les paramètres).
Les certificats DV ne permettent pas :
de réessayer l’automatisation de certificats en masse si l’intégration DNS échoue ;
d'émettre des duplicatas de certificats.
Lors de la création d'événements d'automatisation de certificats DV :
Ne sélectionnez pas Issue a duplicate certificate using an existing order, (Émettre un duplicata du certificat à l’aide d'une commande existante), car cette fonction n’est pas prise en charge sur les certificats DV.
(Facultatif) Sélectionnez DNS integration or provider (fournisseur ou intégration DNS) pour la validation du challenge DNS pour prouver que vous êtes bien le propriétaire des domaines. La liste comprend toutes les intégrations ajoutées au capteur.
Important
Les intégrations DNS ou les fournisseurs indiqués comme Critical (Critique) ont rencontré des problèmes par le passé lors du paramétrage du challenge DNS. La validation pourrait échouer à nouveau. Nous vous recommandons de sélectionner une autre intégration ou un autre fournisseur pour réussir la validation.
Avis
Par défaut, les certificats automatisés sur l'équilibreur de charge héritent de l’intégration DNS associée. Pour écraser la configuration, sélectionnez une intégration DNS différente.
L’intégration DNS mise à jour pour une automatisation programmée prendra effet immédiatement. Cependant, pour les renouvellements automatiques, l’intégration DNS mise à jour ne prendra effet qu’à partir de la prochaine automatisation programmée.
Workflow d'émission d'un certificat DV avec Authkey
Dans les comptes utilisant Authkey, après avoir soumis une requête d'automatisation de certificat DV, CertCentral approuve immédiatement la requête et émet le certificat. Puis, l’automatisation installe le certificat.
Workflow d'émission d'un certificat DV sans Authkey
Dans les comptes n’utilisant pas Authkey, après avoir soumis une requête d'automatisation de certificat DV, la requête est placée en état Approval pending (En attente d'approbation) Vous devez effectuer la DCV pour les domaines concernés par la requête avant que CertCentral émette le certificat DV. Puis, l’automatisation installe le certificat.
Dépannage
Pour des conseils de dépannage et des réponses aux problèmes courants :
Important
Si vous avez besoin d'aide ou de signaler des erreurs liées aux automatisations gérées par CertCentral, contactez l'assistance.