Skip to main content

Einrichten einer benutzerdefinierten Anwendung für Managed Automation

Die CertCentral Managed Automation unterstützt die gängigsten Webserver-Anwendungen.

CertCentral bietet außerdem die Flexibilität, die Zertifikatsverwaltung für zusätzliche Anwendungen zu erweitern, die nicht nativ unterstützt werden, indem die Konfiguration von ACME-Clients von Drittanbietern über die Option „benutzerdefinierte Anwendung“ ermöglicht wird.

Führen Sie die folgenden Schritte aus, um die verwaltete Automatisierung für eine benutzerdefinierte Anwendung zu aktivieren:

  1. Deploy DigiCert agent

    Install and configure a DigiCert agent on the server system. The agent coordinates automation requests sent from Trust Lifecycle Manager.

  2. Einrichten eines ACME-Clients eines Drittanbieters

    Installieren und konfigurieren Sie auf dem Zertifikatshost Ihren bevorzugten ACME-Client eines Drittanbieters.

  3. Shell-Skript erstellen

    Erstellen Sie auf dem Zertifikatshost ein Hilfsskript, das CertCentral zum Aufrufen des ACME-Clients eines Drittanbieters verwenden kann.

  4. Add script details in Trust Lifecycle Manager

    Configure the shell script details in Trust Lifecycle Manager so it knows how to find and execute the custom automation script.

  5. Einstellungen für Managed Automation konfigurieren

    Verwenden Sie in CertCentral das Menü Automatisierung verwalten, um das Shell-Skript für die Verwendung mit der benutzerdefinierten Anwendung zu konfigurieren.

Deploy DigiCert agent

Custom automations require that a DigiCert agent be installed and running on each server. The agent coordinates automation requests received from Trust Lifecycle Manager and calls your custom shell script to handle certificate lifecycle events for the custom application.

For detailed instructions about setting up a DigiCert agent, see Deploy and manage agents.

Einrichten eines ACME-Clients eines Drittanbieters

CertCentral Managed Automation funktioniert mit jedem Drittanbieter-Client, der das ACME-Protokoll nach Industriestandard unterstützt.

Befolgen Sie die Anweisungen des Softwareanbieters, um Ihren bevorzugten ACME-Client eines Drittanbieters auf dem Zertifikatshost zu installieren und zu konfigurieren.

Shell-Skript erstellen

CertCentral benötigt ein Shell-Skript auf dem Zertifikatshost, um den ACME-Client eines Drittanbieters aufzurufen. Während eines Automatisierungsereignisses ruft der DigiCert-Agent das Shell-Skript auf, um den Client aufzurufen, der wiederum das Zertifikat bereitstellt und installiert.

Das Shell-Skript muss die grundlegenden Automatisierungsbefehle für den ACME-Client eines Drittanbieters enthalten. Die Befehlssyntax hängt davon ab, welcher ACME-Client eines Drittanbieters verwendet wird. Weitere Informationen finden Sie in der Anleitung des Softwareanbieters.

Nachfolgend finden Sie Beispiele für Shell-Skripte, die zur Bereitstellung von DigiCert-Zertifikaten über die Drittanbieterclients EFF Certbot (Linux) und Win-ACME (Windows) verwendet werden:

Variablendefinitionen am Anfang dieser Shell-Skripte lesen die erforderlichen ACME-Argumente ein:

  • Diese müssen mit den ACME-Argumenten übereinstimmen, die Sie für die benutzerdefinierte Anwendung in CertCentral konfigurieren.

  • Während eines Automatisierungsereignisses werden die Werte für diese Argumente vom lokalen DigiCert-Automatisierungs-Agent bereitgestellt, der das Shell-Skript aufruft.

Im Shell-Skript verwendete Befehle:

  • Muss alle obligatorischen Parameter enthalten.

  • Darf nicht länger als 512 Zeichen sein.

  • Darf keine speziellen Direktiven wie rm -rf oder rmdir enthalten

Der Dateiname des Shell-Skripts:

  • Muss mit .bat oder .sh enden

  • Darf nicht länger als 255 Zeichen sein.

Einstellungen für Managed Automation konfigurieren

Verwenden Sie das CertCentral-Menü Automatisierung verwalten, um die Konfiguration für Ihre benutzerdefinierte Anwendung abzuschließen:

  1. Gehen Sie in Ihrem CertCentral-Konto im linken Hauptmenü auf Automatisierung > Automatisierung verwalten.

  2. From the More actions dropdown at top, select Add script.

  3. Fill out the Add script form:

    1. Name: Enter a user-friendly name to use when referencing the script.

    2. Operating system: Select the applicable operating system (Linux or Windows).

    3. Script type: Select Custom automation.

    4. Script filename: Enter the script's filename in or path relative to the local agent's packages sub-directory. The filename must start with ./ (Linux) or .\ (Windows) and cannot have any spaces in it. For example:

      • Linux: If your script is named "myscript.sh" and is stored directly in the agent's packages sub-directory, enter ./myscript.sh here. If you stored the script within an additional sub-directory called "custom-apps" in the packages sub-directory, enter ./custom-apps/myscript.sh instead.

      • Windows: If your script is named "myscript.bat" and is stored directly in the agent's packages folder, enter .\myscript.bat here. If you stored the script within an additional sub-folder called "custom-apps" in the packages folder, enter .\custom-apps\myscript.bat instead.

      Warnung

      Make sure there are no spaces in the filename for either Linux or Windows. The script will fail if the path or filename has spaces in it.

    5. Command-line arguments: Enter a space-separated list of general ACME parameters to use with your custom automation script.

      Beispiel:

      {acmeDirectoryUrl} {hosts} {email} {key} {extActKid} {extActHmac}

      Beachten Sie Folgendes:

      • Jedes Argument muss genau wie hier dargestellt eingegeben werden.

      • Die Reihenfolge der Argumente muss mit der Verwendung in Ihrem Shell-Skript übereinstimmen.

      • Während eines Automatisierungsereignisses werden die erforderlichen Werte für diese Argumente automatisch aus dem ausgewählten Automatisierungsprofil abgerufen.

      Erklärung der von CertCentral unterstützten ACME-Argumente:

      • {acmeDirectoryUrl} – Einstellungen der ACME Verzeichnis-URL.

      • {hosts} – Zertifikatshost-Details.

      • {email} – E-Mail-Adresse für Benachrichtigungen.

      • {key} – Schlüsselalgorithmus (RSA oder ECC).

      • {extActKid} – In der URL verwendete externe Schlüssel-ID.

      • {extActHmac} – HMAC-Schlüssel zum Signieren der Antwort.

    6. Description (optional): Enter an optional description for the script to help identify it when working with DigiCert agents and agent-based automations in Trust Lifecycle Manager.

  4. Wählen Sie in der Ansicht Automatisierung verwalten den Namen des lokalen ACME-Agents aus, der auf demselben Zertifikatshost wie die benutzerdefinierte Anwendung ausgeführt wird.

Assign script to the applicable agent IP/port targets

To complete the custom automation configuration, assign the script to any DigiCert agents that will coordinate certificate lifecycle automation events for the custom application:

  1. From the Trust Lifecycle Manager main menu, select Integrations > Agents.

  2. Locate the local DigiCert agents on the systems where the custom application is running. Select each agent by name to view the details for it.

  3. Select the pencil (edit) icon on the right of the agent details page to update the agent configuration.

  4. In the IP/port targets section for the agent, locate any IP/port targets where the custom application is running and configure them as follows:

    • Application: Select Custom.

    • Custom automation script: Select the custom automation script by the name assigned to it in Trust Lifecycle Manager.

  5. Select the Update button at bottom to save your changes.

What's next

After enabling managed automation for your custom application, you can schedule certificate lifeycle automation events for it as you would any other application in Trust Lifecycle Manager.

In diesem Abschnitt: