Beispiele für die Sensorkonfigurationen
Nach der Installation und Aktivierung eines Sensors müssen Sie die Erstkonfiguration auf dem Sensor selbst durchführen, um die Netzwerkanwendungen für die Automatisierung hinzuzufügen. Diese Erstkonfiguration kann entweder interaktiv über die Befehlszeile oder durch Hinzufügen und Einlesen der Konfigurationsparameter aus einer Textdatei durchgeführt werden.
Die folgenden Beispiele zeigen die Verwendung der interaktiven Konfigurationsmethode, um verschiedene Netzwerkanwendungstypen für sensorbasierte Automatisierung hinzuzufügen.
Wichtig
Das Anmeldekennwort für jede Netzwerkanwendung muss den DigiCert-Kennwortanforderungen entsprechen, damit es mit der Automatisierung funktioniert. Das Kennwort muss Klein- und Großbuchstaben, Zahlen oder Symbole enthalten.
Zulässige Symbole für verschiedene Netzwerkanwendungstypen:
A10: !@#$%^()-+_ {}[]~?:./
Citrix NetScaler: ~!@#$%^*()_+-|`{}[]:;?/,."
F5 BIG-IP: ~!@#$%^&*()_+`-={}[]|;:'"<>,./?
A10
Um einen A10 Load Balancer für die sensorbasierte Automatisierung hinzuzufügen, führen Sie das Dienstprogramm addagentless
mit dem Argument -type A10
auf dem Sensorsystem aus.
Beispiel einer interaktiven Konfigurationssitzung:
Sensor CLI. Copyright 2020, DigiCert Inc. Add or change login credentials and specify data IP addresses for certificate automation. Enter management IP address:10.141.17.192 Enter Management Port (443):443 If available, do you want to map this sensor with the previously voided loadbalancer (Y/N)?:N Important: Enter an account that has admin (superuser) permission to manage all partitions on the A10 load balancer. Enter admin username:admin Enter admin password: Confirm admin password: Successfully added or changed the agentless. IMPORTANT: After you run this command, return to Manage Automation Agents. Verify that the certificate host appears and is configured.
A10 hohe Verfügbarkeit
Um einen A10-Load-Balancer mit hoher Verfügbarkeit für die sensorbasierte Automatisierung hinzuzufügen, führen Sie das Dienstprogramm addagentless
mit den Argumenten -type A10 -ha VRRPA
auf dem Sensorsystem aus.
Beispiel einer interaktiven Konfigurationssitzung:
Sensor CLI. Copyright 2021, DigiCert Inc. Add or change login credentials and specify data IP addresses for certificate automation. Enter management IP address:10.141.17.192 Enter Management Port (443):443 Important: Enter an account that has admin (superuser) permission to manage all partitions on the A10 load balancer. Enter admin username:admin Enter admin password: Confirm admin password: Enter SSH enable password: Confirm SSH enable password: For high availability configurations, enter the management IP address and login information for each additional load balancer in the configuration. To finish the list, press Return at the prompt (blank input). Enter management IP address, port, and username (separated by commas):10.141.17.192,443,admin Enter admin password: Confirm admin password: Enter management IP address, port, and username (separated by commas): Successfully added or changed the agentless. IMPORTANT: After you run this command, return to Manage Automation Agents. Verify that the certificate host appears and is configured.
Citrix NetScaler
Um einen Citrix NetScaler-Load-Balancer für die sensorbasierte Automatisierung hinzuzufügen, führen Sie das Dienstprogramm addagentless
mit dem Argument -type NETSCALER
auf dem Sensorsystem aus.
Beispiel einer interaktiven Konfigurationssitzung:
Sensor CLI. Copyright 2020, DigiCert Inc. Add or change login credentials and specify data IP addresses for certificate automation. Enter the management IP:10.141.17.192 http or https:https Enter management Port (443):443 If available, do you want to map this sensor with the previously voided loadbalancer (Y/N)?:N Enter webservice username:nsroot Enter webservice password: Confirm webservice password: Enter SSH username:nsroot Enter SSH password: Confirm SSH password: Enter SSH port:22 Successfully added or changed the agentless. HA Pair peers are Management IP : 10.141.17.192 (Primary) The sensor may use any of these management IP addresses to perform certificate automation activities. IMPORTANT: After you run this command, return to Manage Automation Agents in console. Verify that the certificate host appears and is configured.
F5 BIG-IP
Um einen F5 BIG-IP-Load-Balancer für die sensorbasierte Automatisierung hinzuzufügen, führen Sie das Dienstprogramm addagentless
mit dem Argument -type BIGIP
auf dem Sensorsystem aus.
Beispiel einer interaktiven Konfigurationssitzung:
Sensor CLI. Copyright 2020, DigiCert Inc. Add or change login credentials and specify data IP addresses for certificate automation. Enter management IP address:10.141.17.192 Enter Management Port:443 If available, do you want to map this sensor with the previously voided load balancer (Y/N)?:N Enter web service username: admin Enter web service password: Confirm web service password: Successfully added or changed the agentless automation. This applies to the following HA Pair peers : Management IP: 10.141.17.192 (ACTIVE) Starting agentless configuration for this host. Go to Automated IPs in CertCentral to finish configuring host details and set up automation.
Sobald der F5 BIG-IP-Load-Balancer hinzugefügt ist, sammelt der Sensor automatisch Informationen über IP/Ports, die automatisiert werden können.
Für eine erfolgreiche Automatisierung:
stellen Sie sicher, dass Sie bei der Konfiguration virtueller IPs nur unterstützte Netzwerkprotokolle auswählen. Anmerkung: Das UDP-Protokoll unterstützt keine Automatisierung. Virtuelle IPs, die mit UDP-Protokollen konfiguriert wurden, werden gefiltert und können nicht erkannt werden.
Für virtuelle Server, die mit iApp-Vorlagen konfiguriert sind, deaktivieren Sie Strict Updates für eine erfolgreiche Automatisierung. Gehen Sie in der F5-Konsole zum Ordner „iApps Application Services“, und deaktivieren Sie das Kontrollkästchen Strict Updates.
Fügen Sie bei der Konfiguration Ihres virtuellen Servers keine Zieladresse/Maske hinzu. Die Automatisierung kann eine Zieladresse, die als xxx.xxx.xxx.xxx/0 angegeben ist, nicht identifizieren. Die Adresse wird als 0.0.0.0 angezeigt. Solche IPs können nicht automatisiert werden.
Für Hochverfügbarkeitskonfigurationen (HA) muss das Dienstprogramm
addagentless
nur einmal ausgeführt werden. Geben Sie entweder die Floating-IP oder die Management-IP eines der Load Balancer ein. Der Sensor erkennt automatisch die HA-Peer-Konfiguration.
Amazon Web Services (AWS)
DigiCert-sensorbasierte Automatisierung unterstützt AWS Application/Network Load Balancer (ALB/NLB) und AWS CloudFront. Beachten Sie Folgendes:
Neu automatisierte Zertifikate werden in ACM (AWS Certificate Manager) gespeichert, unabhängig von dem ursprünglichen Zertifikat, das in AWS IAM (Identity and Access Management) gespeichert ist.
Wenn Sie eine Verteilung ohne Zertifikate automatisieren, empfiehlt AWS, die Verteilungseinstellungen zu ändern:
SSLSupportMethod
insni-only
MinimumProtocolVersion
inTLSv12_2019
Hinweis
Benutzer mit eingeschränktem Zugriff benötigen Berechtigungen für die aufgeführten Richtlinien.
Für AWS ALB/NLB:
Für AWS CloudFront:
Um einen F5 ALB-NLB-Load-Balancer für die sensorbasierte Automatisierung hinzuzufügen, führen Sie das Dienstprogramm addagentless
mit dem Argument -type AWS
auf dem Sensorsystem aus.
Um eine AWS CloudFront-Verteilung für die sensorbasierte Automatisierung hinzuzufügen, führen Sie das Dienstprogramm addagentless
mit dem Argument -type AWS-CLOUDFRONT
auf dem Sensorsystem aus.
Während der Konfiguration werden Sie aufgefordert, eine der folgenden AWS-Anmeldemethoden auszuwählen:
Verwenden der standardmäßigen AWS-Anbieterkette für Anmeldeinformationen
Die Anmeldeinformationen selbst erstellen
Einen AWS-Profilnamen verwenden
Im Folgenden finden Sie interaktive Konfigurationsbeispiele zum Hinzufügen eines AWS ALB- oder NLB-Load Balancers zu einem Sensor, bei dem diese 3 verschiedenen Anmeldemethoden ausgewählt werden (verwenden Sie die Registerkarten oben, um jede anzuzeigen). Für weitere Details zu AWS-Anmeldeinformationen folgen diesen Beispielen.
AWS Anbieterkette für Anmeldeinformationen
Wenn Sie einen AWS-Load Balancer für die sensorbasierte Automatisierung hinzufügen, haben Sie die Möglichkeit, eine AWS-Anbieterkette für Anmeldeinformationen zur Anmeldung zu verwenden. Bei dieser Methode werden Anmeldedaten in der folgenden Reihenfolge während eines Automatisierungsereignisses gesucht:
Umgebungsvariablen –
AWS_ACCESS_KEY_ID
undAWS_SECRET_ACCESS_KEY
.Anmerkung: Sie müssen den Sensor neu starten:
Wenn Umgebungsvariablen hinzugefügt werden, während der Sensor bereits installiert ist und läuft.
Wenn Umgebungsvariablen aktualisiert oder geändert werden, während der Sensor läuft.
Datei mit Anmeldeprofilen am Standardspeicherort (
~/.aws/credentials
), die von allen AWS SDKs und der AWS CLI gemeinsam genutzt wird.Für eine erfolgreiche Authentifizierung empfehlen wir:
Hinzufügen der
AWS_CREDENTIAL_PROFILES_FILE
-Umgebungsvariable.Einstellen der Anmeldedaten-Datei an einem Ort, an dem sowohl der Sensor als auch der Benutzer Zugriff darauf haben.
Beispiel:
AWS_CREDENTIAL_PROFILES_FILE=path/to/credentials_file
Anmerkung: Sie müssen den Sensor neu starten, wenn eine Aktualisierung oder Änderung an den Umgebungsvariablen vorgenommen wird, während der Sensor läuft.
Anmeldeinformationen für das Instanzprofil, die über den Amazon EC2-Metadatenservice bereitgestellt werden.
Für eine erfolgreiche Authentifizierung der Instanz-Anmeldeinformationen:
Sensor muss auf der EC2-Instanz installiert sein.
Die IAM-Rolle (Identity and Access Management) muss mit einer EC2-Instanz verknüpft sein. Wie Sie die IAM-Rolle erstellen und mit einer Instanz verknüpfen, erfahren Sie unter IAM-Rolle erstellen und IAM-Rolle einer Instanz zuweisen (unten).
Die mit der Instanz verknüpfte IAM-Rolle muss über die folgende Richtlinienberechtigung verfügen:
Für AWS ALB/NLB:
Für AWS CloudFront:
Weitere Einzelheiten finden Sie in der AWS-Dokumentation.
IAM-Rolle erstellen
Melden Sie sich bei der AWS-Verwaltungskonsole an, und wählen Sie den IAM-Service.
Wählen Sie im Menü der Seitenleiste Zugriffsverwaltung > Rollen. Wählen Sie dann Rolle erstellen.
Wählen Sie auf der Seite „Rolle erstellen“ den AWS Service Trusted-Entity-Typ und den EC2-Anwendungsfall. Wählen Sie dann Weiter: Berechtigungen.
Wählen Sie die Richtlinien, die Sie der Rolle zuweisen möchten. Wählen Sie dann Weiter: Tags.
Weisen Sie der Rolle Tags zu (optional) und wählen Sie Weiter: Überprüfen.
Geben Sie einen Rollennamen ein, fügen Sie eine Beschreibung hinzu (optional), und wählen Sie Rolle erstellen.
IAM-Rolle einer Instanz zuweisen
Wählen Sie in der AWS Verwaltungskonsole den EC2-Service.
Wählen Sie im Menü der Seitenleiste Instanzen.
Wählen Sie auf der Seite Instanzen die Instanz aus. Wählen Sie dann Aktionen > Instanzen-Einstellungen > IAM-Rolle anhängen/ersetzen.
Wählen Sie auf der Seite IAM-Rolle hinzufügen/ersetzen die IAM-Rolle aus, die Sie Ihrer Instanz hinzufügen möchten. Wählen Sie dann Anwenden.
Wichtig
Stellen Sie an mindestens einem dieser Orte Anmeldeinformationen bereit, damit sich der Sensor mit AWS verbinden kann.
AWS-Anmeldedaten: Profilname
Um einen AWS-Profilnamen für Ihre Anmeldedaten zu verwenden, legen Sie das Profil mit Schlüssel-Wert-Paaren fest. Sie können dies in der AWS-Anmeldeprofildatei tun, die sich am Standardspeicherort (~/.aws/credentials
) befindet und von allen AWS SDKs und der AWS CLI gemeinsam genutzt wird.
Für eine erfolgreiche Authentifizierung empfehlen wir:
Hinzufügen der
AWS_CREDENTIAL_PROFILES_FILE
-Umgebungsvariable.Einstellen der Anmeldedaten-Datei an einem Ort, an dem sowohl der Sensor als auch der Benutzer Zugriff darauf haben.
Beispiel: AWS_CREDENTIAL_PROFILES_FILE=path/to/credentials_file
[default] aws_access_key_id = YOUR_ACCESS_KEY_ID aws_secret_access_key = YOUR_SECRET_ACCESS_KEY [profile1] aws_access_key_id = YOUR_ACCESS_KEY_ID aws_secret_access_key = YOUR_SECRET_ACCESS_KEY [profile2] aws_access_key_id = YOUR_ACCESS_KEY_ID aws_secret_access_key = YOUR_SECRET_ACCESS_KEY [profile3] aws_access_key_id = YOUR_ACCESS_KEY_ID aws_secret_access_key = YOUR_SECRET_ACCESS_KEY
Wenn Sie mit mehreren AWS-Konten arbeiten, können Sie ganz einfach zwischen Ihren Konten wechseln, indem Sie mehrere Profile (Sätze von Anmeldeinformationen) in Ihrer Anmeldedatei erstellen.
Jeder Abschnitt (z. B. [default], [profile1], [profile2]) stellt ein separates Anmeldeprofil dar. Das Schlüsselwort in eckigen Klammern ist Ihr Profilname.
Wichtig
Falls Sie nicht den Namen des AWS-Profils als Benutzer-ID angeben, verwenden wir die AWS-Konto-ID für Ihre Anmeldung.