Einrichten einer benutzerdefinierten Anwendung für Managed Automation

Die CertCentral Managed Automation unterstützt die gängigsten Webserver-Anwendungen.

CertCentral bietet außerdem die Flexibilität, die Zertifikatsverwaltung für zusätzliche Anwendungen zu erweitern, die nicht nativ unterstützt werden, indem die Konfiguration von ACME-Clients von Drittanbietern über die Option „benutzerdefinierte Anwendung“ ermöglicht wird.

Führen Sie die folgenden Schritte aus, um die verwaltete Automatisierung für eine benutzerdefinierte Anwendung zu aktivieren:

Einrichten eines ACME-Clients eines Drittanbieters
Installieren und konfigurieren Sie auf dem Zertifikatshost Ihren bevorzugten ACME-Client eines Drittanbieters.
Shell-Skript erstellen
Erstellen Sie auf dem Zertifikatshost ein Hilfsskript, das CertCentral zum Aufrufen des ACME-Clients eines Drittanbieters verwenden kann.
Einstellungen für Managed Automation konfigurieren
Verwenden Sie in CertCentral das Menü Automatisierung verwalten, um das Shell-Skript für die Verwendung mit der benutzerdefinierten Anwendung zu konfigurieren.

Hinweis

Benutzerdefinierte Automatisierungen erfordern weiterhin, dass ein DigiCert ACME Automation Agent auf dem lokalen Zertifikatshost installiert und aktiviert wird.

Einrichten eines ACME-Clients eines Drittanbieters

CertCentral Managed Automation funktioniert mit jedem Drittanbieter-Client, der das ACME-Protokoll nach Industriestandard unterstützt.

Befolgen Sie die Anweisungen des Softwareanbieters, um Ihren bevorzugten ACME-Client eines Drittanbieters auf dem Zertifikatshost zu installieren und zu konfigurieren.

Shell-Skript erstellen

CertCentral benötigt ein Shell-Skript auf dem Zertifikatshost, um den ACME-Client eines Drittanbieters aufzurufen. Während eines Automatisierungsereignisses ruft der DigiCert-Agent das Shell-Skript auf, um den Client aufzurufen, der wiederum das Zertifikat bereitstellt und installiert.

Das Shell-Skript muss die grundlegenden Automatisierungsbefehle für den ACME-Client eines Drittanbieters enthalten. Die Befehlssyntax hängt davon ab, welcher ACME-Client eines Drittanbieters verwendet wird. Weitere Informationen finden Sie in der Anleitung des Softwareanbieters.

Nachfolgend finden Sie Beispiele für Shell-Skripte, die zur Bereitstellung von DigiCert-Zertifikaten über die Drittanbieterclients EFF Certbot (Linux) und Win-ACME (Windows) verwendet werden:

Beispiel 1. EFF Certbot (Linux)

directoryuri=$1
host=$2
emailaddress=$3
eabkeyidentifier=$5
eabkeyhmac=$6
process_path=/usr/bin/apachectl
server_root=/etc/httpd
config_root=/etc/httpd/config
procCmdLine="/usr/bin/apachectl start"
acmeConfigDirectory="/etc/letsencrypt/"
certbot --server $directoryuri --config-dir $acmeConfigDirectory --eab-kid $eabkeyidentifier  --eab-hmac-key $eabkeyhmac --installer apache -m $emailaddress --force-renew --agree-tos --no-redirect --expand -d $host --no-verify-ssl --no-autorenew --pre-hook "$process_path stop" --post-hook $procCmdLine -n --apache-server-root $server_root --apache-vhost-root $config_root
returnCode=$?
echo "The command exit status : ${returnCode}"
exit $returnCode

Beispiel 2. Win-ACME (Windows)

set SERVERURL=%1
set SANS=%2
set EMAIL=%3
set KEYALGO=%4
set EABKEY=%5
set EABHMAC=%6
set VALIDATIONMODE=--validation selfhosting
"wacs.exe" --baseuri %SERVERURL% --eab-key-identifier=%EABKEY% --eab-key=%EABHMAC% --target manual --host %SANS% --emailaddress %EMAIL% --force --accepttos --notaskscheduler %VALIDATIONMODE% --csr %KEYALGO% --store centralssl --centralsslstore  ./certs
set returnCode=%errorlevel%
EXIT /B %returnCode%

Variablendefinitionen am Anfang dieser Shell-Skripte lesen die erforderlichen ACME-Argumente ein:

Diese müssen mit den ACME-Argumenten übereinstimmen, die Sie für die benutzerdefinierte Anwendung in CertCentral konfigurieren.
Während eines Automatisierungsereignisses werden die Werte für diese Argumente vom lokalen DigiCert-Automatisierungs-Agent bereitgestellt, der das Shell-Skript aufruft.

Im Shell-Skript verwendete Befehle:

Muss alle obligatorischen Parameter enthalten.
Darf nicht länger als 512 Zeichen sein.
Darf keine speziellen Direktiven wie rm -rf oder rmdir enthalten

Der Dateiname des Shell-Skripts:

Muss mit .bat oder .sh enden
Darf nicht länger als 255 Zeichen sein.

Einstellungen für Managed Automation konfigurieren

Verwenden Sie das CertCentral-Menü Automatisierung verwalten, um die Konfiguration für Ihre benutzerdefinierte Anwendung abzuschließen:

Gehen Sie in Ihrem CertCentral-Konto im linken Hauptmenü auf Automatisierung > Automatisierung verwalten.
Wählen Sie in der Ansicht Automatisierung verwalten den Namen des lokalen ACME-Agents aus, der auf demselben Zertifikatshost wie die benutzerdefinierte Anwendung ausgeführt wird.
Gehen Sie rechts im Konfigurationsfenster des Agents zum Abschnitt IP/Port konfigurieren.
Suchen Sie die IP-Adresse und die Portnummer für die benutzerdefinierte Anwendung. Wählen Sie Benutzerdefiniert als Anwendungsname.
Geben Sie im Feld Client-Befehlspfad den vollständigen Verzeichnispfad für das Shell-Skript an, das den ACME-Client eines Drittanbieters aufrufen wird.
Beispiel:
- Windows: G:\certcentral\agent\custom_automation_1.bat
- Linux: /home/certcentral/agent/custom_automation_1.sh
Geben Sie im Feld Client-Befehlsargumente die zu verwendenden allgemeinen ACME-Argumente an.
Beispiel:
{acmeDirectoryUrl} {hosts} {email} {key} {extActKid} {extActHmac}
Beachten Sie Folgendes:
- Jedes Argument muss genau wie hier dargestellt eingegeben werden.
- Die Reihenfolge der Argumente muss mit der Verwendung in Ihrem Shell-Skript übereinstimmen.
- Während eines Automatisierungsereignisses werden die erforderlichen Werte für diese Argumente automatisch aus dem ausgewählten Automatisierungsprofil abgerufen.
Erklärung der von CertCentral unterstützten ACME-Argumente:
- {acmeDirectoryUrl} – Einstellungen der ACME Verzeichnis-URL.
- {hosts} – Zertifikatshost-Details.
- {email} – E-Mail-Adresse für Benachrichtigungen.
- {key} – Schlüsselalgorithmus (RSA oder ECC).
- {extActKid} – In der URL verwendete externe Schlüssel-ID.
- {extActHmac} – HMAC-Schlüssel zum Signieren der Antwort.
Wählen Sie Speichern, um die Konfigurationsänderungen in Kraft zu setzen.

Wie geht es weiter?

Nach dem Einrichten der benutzerdefinierten Anwendung können Sie für diese Zertifikatsautomatisierungen auf die gleiche Weise verwalten wie für andere verwaltete Anwendungen.

Mehr erfahren: Nächste Schritte.

In diesem Abschnitt: