Bereitstellungsoptionen
Managed Automation
Managed Automation ist die schlüsselfertige Automatisierungslösung von DigiCert. Sie ist hochgradig skalierbar und einfach einzurichten und zu warten.
Es gibt zwei wichtige Bereitstellungsszenarien, die für die Managed Automation in Betracht gezogen werden müssen, basierend auf dem Speicherort der TLS-Zertifikate:
Standard-Hosts, z. B. Webserver
Um die Zertifikatsverwaltung auf einem Standard-Host zu automatisieren, installieren Sie dort eine einfache Software namens „ACME-Agent“. Der ACME-Agent verwendet das branchenübliche ACME-Protokoll, um die Zertifikate auf jedem Host zu verwalten.
Netzwerkanwendungen wie Load Balancer
Es ist nicht möglich, die ACME-Agent-Software auf einer proprietären Netzwerkanwendung zu installieren. Stattdessen müssen Sie eine andere Software, den sogenannten „Sensor“, auf einem anderen System in Ihrem Netzwerk installieren. Der Sensor verwendet API-Aufrufe, um die Zertifikate auf einer oder mehreren Netzwerkanwendungen „remote“ zu verwalten.
Hinweis
Eine vollständige Automatisierungsbereitstellung umfasst in der Regel eine Mischung aus vielen verschiedenen Hosts und Netzwerkanwendungen. Auf jedem einzelnen Host muss die ACME-Agent-Software installiert sein. Sie können jedoch mehrere Netzwerkanwendungen über eine einzige Sensorinstallation verwalten.
Verwaltete Automatisierung für Standard-Hosts (auf ACME-Agent basierend)
Für die Automatisierung von Zertifikaten auf Standardhosts müssen Sie die ACME-Agent-Software auf jedem dieser Hosts installieren.
Der Agent ist der native Host-Automatisierungs-Client von DigiCert, der das branchenübliche ACME-Protokoll sowie übergeordnete Managementfunktionen umfasst. Er unterstützt Zertifikatsautomatisierungen für Webserver wie Microsoft IIS, Apache HTTP Server, Apache Tomcat, Nginx und IBM HTTP Server.
Sie laden die Agent-Software von CertCentral herunter. Es ist sicher und leicht konzipiert, ohne Auswirkungen auf die System- oder Netzwerkleistung. Nach der Installation hält sich der ACME-Agent auf dem neuesten Stand, sodass keine laufende Wartung erforderlich ist.
Jeder ACME-Agent verwendet ein „Pull“-Kommunikationsmodell, um sich über eine gesicherte Verbindung mit der DigiCert-Cloud zu synchronisieren. Es sind keine Änderungen an der Netzwerkkonfiguration oder der Firewall erforderlich. Die Netzwerkintegrität bleibt intakt.
Anmerkung
Für Hosts, die über einen Proxy-Server zum Herstellen einer Internetverbindung benötigt werden, haben Sie die Möglichkeit, einen DigiCert-Sensor als Proxy zu verwenden. Die Verwendung eines Sensors als Proxy bietet zusätzliche Fehlertoleranzoptionen für die Automatisierung von Zertifikaten.
Managed Automation für Netzwerkanwendungen (sensorbasiert)
Da es nicht möglich ist, die ACME-Agent-Software auf proprietären Netzwerkanwendungen zu installieren, müssen Sie stattdessen die netzwerkbasierte Sensor-Software verwenden.
Der Sensor ist der native Automatisierungsclient von DigiCert für die Verwaltung von TLS-Zertifikaten auf proprietären Netzwerkanwendungen wie Load Balancern. Es unterstützt Zertifikatsautomatisierungen für dedizierte Load Balancer (wie F5 BIG-IP LTM, Citrix NetScaler, A10) sowie cloudbasierte Load Balancer-Dienste (wie Amazon ELB und CloudFront). Ein Sensor kann auch als Proxy für ACME-Agenten fungieren und ihnen automatische Failover-Dienste bereitstellen.
Sie laden die Sensor-Software von CertCentral herunter. Die Konfiguration des Sensors hängt von den Typen der von ihm verwalteten Netzwerkanwendungen und davon ab, ob er Proxy-/Failover-Dienste bereitstellt. Nach der Installation hält sich der Sensor auf dem neuesten Stand, sodass keine laufende Wartung erforderlich ist.
Ein einziger Sensor kann für viele verschiedene Systeme Automatisierungen verwalten und Proxydienste bereitstellen. Dazu können eine Mischung aus hardware- und cloudbasierten Load Balancern sowie alle lokalen Hosts gehören, auf denen er als Proxy fungiert. Der Sensor muss auf einem dedizierten Host im Netzwerk installiert werden, der mit all diesen Systemen kommunizieren kann.
Wie der DigiCert Agent ist auch die Sensorsoftware für einen sicheren und nahtlosen Betrieb ohne Auswirkungen auf die Netzwerkleistung oder -Integrität konzipiert.
Anmerkung
Die gleiche Sensor- und Agent-Software, die auch vom CertCentral-Automatisierungsdienst verwendet wird, wird auch vom Discovery-Dienst verwendet. Falls bereits Sensoren oder Agenten für Discovery installiert wurden, können Sie sie auch für die Automatisierung verwenden und umgekehrt.
Sensorbasierte Automatisierungen werden auch als „agentenlos“ oder „remote“ bezeichnet, da kein lokal installierter Agent auf jedem System erforderlich ist.
Automatisierung mit ACME-Clients eines Drittanbieters
Der CertCentral-Automatisierungsservice unterstützt auch den Einsatz von ACME-Clients von Drittanbietern, wie EFF Certbot und Kubernetes Cert-Manager. In diesem Fall verwenden Sie den ACME-Client eines Drittanbieters anstelle des nativen ACME-Agenten von DigiCert.
Für ACME-Clients von Drittanbietern müssen Sie die Software außerhalb von CertCentral herunterladen und separat auf jedem Host installieren, der Zertifikatsautomatisierungen ausführen wird. Die installierten ACME-Clients müssen auf der Grundlage ihrer eigenen individuellen Bereitstellungsanforderungen konfiguriert werden und müssen auf die DigiCert-Cloud zugreifen können.
Bei der Verwendung von ACME-Clients von Drittanbietern mit dem CertCentral-Automatisierungsservice sind die folgenden potenziellen Einschränkungen zu beachten:
Fehlende Unterstützung für proprietäre Netzwerkanwendungen wie Load Balancer.
Fehlen automatisierter Software-Updates. Jeder Client muss manuell gewartet werden.
Fehlen zentralisierter Verwaltungsfunktionen. Automatisierungsaktionen müssen lokal auf jedem Client initiiert werden.
Möglicherweise sind zusätzliche Netzwerk- und Firewall-Änderungen erforderlich.
Aufgrund der oben genannten Einschränkungen empfiehlt DigiCert nur die Verwendung von ACME-Clients von Drittanbietern für kleinere Automatisierungsbereitstellungen oder für Clients wie Kubernetes Cert-Manager, die hochvolumige Automatisierungen von einem zentralen Standort aus nativ unterstützen.
Automatisierung über API-Aufrufe
Eine letzte Möglichkeit zur Bereitstellung von Automatisierung ist die DigiCert API-Bibliothek. API-Aufrufe werden für die verschiedenen verwalteten Automatisierungsfunktionen bereitgestellt, wie z. B. die Aktionen zum REGISTRIEREN und VERLÄNGERN von Zertifikaten. Mit der API können Sie diese Automatisierungsaktionen direkt aus benutzerdefinierten Webanwendungen integrieren und auslösen.
Die Automatisierungs-Service-API erfordert, dass DigiCert-Agenten und -Sensoren bereits auf den entsprechenden Systemen installiert und konfiguriert sind. Während die API die Automatisierungsaktionen initiiert, werden die eigentlichen Aufgaben des Herunterladens und der Installation der Zertifikate weiterhin von den Managed-Automation-Clients ausgeführt.