Automatisation des certificats en libre-service : Keyfactor & ServiceNow

Dans le paysage informatique actuel, chaque équipe a besoin d'un accès constant aux services et à l'infrastructure informatiques pour avancer rapidement sans interruption. Il est donc urgent de gérer efficacement tous les composants qui constituent l'épine dorsale technologique d'une organisation. C'est là que les solutions ITSM entrent en jeu.

L'ITSM (abréviation de IT Service Management) concerne tout, depuis les demandes de service et la gestion des changements jusqu'à la résolution des incidents informatiques lorsqu'ils surviennent - en fait, tout service informatique qu'une entreprise fournit à ses utilisateurs finaux et à ses clients.

ServiceNow est une solution ITSM de premier plan, conçue pour fournir ces services à partir d'une plate-forme unique - offrant un processus fiable pour demander des actifs et un moteur de flux de travail pour approuver et traiter ces demandes.

L'un des actifs les plus critiques qu'une entreprise doit gérer est SSL/TLS certificats utilisés pour sécuriser les connexions et protéger les données sensibles. Les opérations DevOps et informatiques ont besoin d'un accès rapide aux certificats pour leurs opérations quotidiennes, mais PKI et les équipes de sécurité ont souvent du mal à suivre le rythme des demandes. Il est encore plus difficile d'assurer le suivi des certificats (propriétaire, emplacement, expiration, algorithme, etc.) et de les renouveler avant qu'ils n'expirent.

La gestion à l'ancienne par feuille de calcul (encore largement utilisée aujourd'hui) n'est tout simplement pas efficace, en particulier dans les environnements multi-cloud et de conteneurs d'aujourd'hui où les demandes de certificats atteignent des milliers. ServiceNow est parfaitement adapté pour créer des processus et des flux de travail pour ce grand volume de demandes de certificats, mais les organisations ont toujours besoin d'un moyen de gérer efficacement les certificats tout au long de leur cycle de vie.

Entrez Keyfactor Command . La plateforme permet aux entreprises de découvrir, de surveiller et d'automatiser le cycle de vie des clés et des certificats dans leur environnement, de la réception de la demande à l'émission, au déploiement, à la révocation et au renouvellement. Mais pour les organisations qui utilisent ServiceNow, il est souvent plus logique que les utilisateurs finaux demandent des certificats à partir de la même application que celle qu'ils utilisent pour tous les autres flux de travail liés à l'informatique.

C'est pourquoi de nombreux clients intègrent Keyfactor Command à leur plateforme ServiceNow - offrant aux utilisateurs des flux de travail simples en libre-service pour effectuer des tâches liées aux certificats telles que les demandes, la révocation et le renouvellement directement à partir de l'interface ServiceNow.

Notre architecture API-first permet d'étendre facilement la fonctionnalité de Keyfactor Command au cadre API de ServiceNow. ServiceNow ayant la capacité d'intégrer des appels d'API REST externes dans n'importe quel flux de travail, Keyfactor peut permettre un accès authentifié à sa solide bibliothèque d'API. La plateforme exploite également les gestionnaires d'événements du cycle de vie des certificats pour déclencher des flux de travail au sein de ServiceNow en fonction des changements d'état des certificats (par exemple, expiration imminente).

Voici deux processus courants de gestion des certificats simplifiés par l'intégration du moteur d'automatisation du cycle de vie des certificats Keyfactor à la plate-forme ITSM ServiceNow.

La tâche la plus courante dans la gestion des certificats est la demande, l'approbation, l'émission et la livraison de certificats aux utilisateurs ou aux applications. Ces certificats peuvent être émis par une autorité de certification (AC) publique, liée à un site web pour l'authentification SSL , ou par une AC interne, et utilisés pour l'authentification du serveur sur le réseau interne. Dans un cas comme dans l'autre, les organisations doivent faciliter la possibilité pour (1) aux utilisateurs de demander un certificat, (2) aux utilisateurs autorisés d'approuver la demande, (3) au certificat d'être émis, et (4) au certificat d'être délivré et déployé.

Voici comment cela fonctionne avec Keyfactor + ServiceNow :

• Demande : ServiceNow permet aux utilisateurs de créer des formulaires de demande hautement personnalisables pour demander un certificat. Il peut s'agir d'une demande de signature de certificat (CSR) qu'un utilisateur crée et colle directement dans le formulaire, ou bien de suffisamment d'informations saisies directement dans le formulaire pour que Keyfactor génère un certificat avec des clés publiques et privées (appelé demande PFX).
• Approbation : Les demandes ServiceNow peuvent être configurées pour déclencher des workflows d'approbation. Un utilisateur ou un groupe spécifique recevra une approbation en attente dans sa file d'attente et pourra soit rejeter, soit approuver la demande. Cependant, si la demande contient un CSR, comment savoir ce qu'il approuve ? C'est là que l'un des nombreux appels de l'API Keyfactor peut aider. Un flux de travail ServiceNow peut inclure une tâche pour appeler l'API Keyfactor et récupérer le contenu de la RSC, fournissant ainsi plus de détails à l'approbateur.
• Délivrance : Après approbation, le flux de travail ServiceNow peut appeler l'API Keyfactor appropriée (CSR ou PFX Enrollment) pour émettre le certificat à partir de n'importe quelle autorité de certification interne ou publique configurée dans Keyfactor Command .
• Livraison : Il existe plusieurs options pour la livraison et le déploiement des certificats. L'API d'enrôlement Keyfactor peut renvoyer la partie publique du certificat à ServiceNow, qui peut alors mettre à jour la demande pour des processus de flux de travail supplémentaires. Keyfactor peut également automatiser complètement le déploiement et la liaison des certificats aux magasins de certificats sur les terminaux du réseau comme IIS, F5, Citrix ADC, Java Keystore, et bien d'autres. Pour l'inscription PFX, un lien de téléchargement peut être envoyé par courrier électronique pour permettre à l'utilisateur de récupérer en toute sécurité le certificat et la clé privée.

Chaque certificat expire. Pour éviter les pannes, les entreprises doivent éliminer les processus manuels, sources d'erreurs, et automatiser le renouvellement des certificats dans l'ensemble de leur environnement.

Voici comment Keyfactor + ServiceNow simplifient les choses :

• Alerte : à l'aide des gestionnaires d'événements de Keyfactor, des alertes peuvent être configurées pour avertir les propriétaires de certificats par courrier électronique lorsqu'un certificat est sur le point d'expirer. Ces alertes peuvent également déclencher automatiquement un nouvel incident ou une nouvelle demande dans ServiceNow, en l'acheminant vers la personne ou le groupe responsable.
• Approbation : Le workflow ServiceNow peut inclure une étape d'approbation, si nécessaire, afin que l'approbateur puisse déterminer si le certificat doit être renouvelé, ou si l'application ou l'appareil utilisant le certificat n'est plus opérationnel, et que la demande puisse être rejetée (permettant au certificat d'expirer).
• Renouvellement : Après approbation, ServiceNow fait appel à l'API Keyfactor pour renouveler automatiquement le certificat.
• En option : Des alertes supplémentaires peuvent également être configurées dans la plateforme Keyfactor pour avertir d'autres personnes si le certificat n'a pas été renouvelé après l'alerte initiale.

Pour protéger les données sensibles et connecter en toute sécurité les appareils, les machines et les applications de notre infrastructure, les entreprises dépendent de plus en plus des certificats numériques. Dans les environnements dynamiques et multi-cloud d'aujourd'hui, où les ressources informatiques sont désormais approvisionnées à une vitesse fulgurante, il est plus que jamais essentiel de disposer d'un processus rapide et fiable pour gérer les certificats à l'échelle.

Keyfactor et ServiceNow fournissent les outils permettant aux utilisateurs d'accéder rapidement et en libre-service aux certificats lorsqu'ils en ont besoin, tout en garantissant que chaque certificat est fiable, conforme et à jour.