Skip to main content

Ejemplos de configuración del sensor

Después de instalar y activar un sensor, debe realizar la configuración inicial en el propio sensor para agregar los dispositivos de red para la automatización. Esta configuración inicial se puede realizar de manera interactiva para la línea de comandos o agregando y leyendo los parámetros de configuración desde un archivo de texto.

Los ejemplos a continuación demuestran el uso del método de configuración interactiva para agregar distintos tipos de dispositivos de red para la automatización basada en sensores.

Importante

La contraseña de inicio de sesión del dispositivo de red debe cumplir los requisitos de contraseña de DigiCert para que funcione con la automatización. La contraseña debe incluir letras minúsculas y mayúsculas, números o símbolos.

Símbolos permitidos para distintos tipos de dispositivos de red:

  • A10: !@#$%^()-+_ {}[]~?:./

  • Citrix NetScaler: ~!@#$%^*()_+-|`{}[]:;?/,."

  • F5 BIG-IP: ~!@#$%^&*()_+`-={}[]|;:'"<>,./?

A10

Para agregar un equilibrador de carga A10 para la automatización basada en sensores, ejecute la utilidad addagentless con el argumento -type A10 en el sistema del sensor.

Ejemplo de sesión de configuración interactiva:

Sensor CLI. Copyright 2020, DigiCert Inc.
Add or change login credentials and specify data IP addresses for certificate automation.
Enter management IP address:10.141.17.192
Enter Management Port (443):443
If available, do you want to map this sensor with the previously voided loadbalancer (Y/N)?:N
Important: Enter an account that has admin (superuser) permission to manage all partitions on the A10 load balancer.
Enter admin username:admin
Enter admin password:
Confirm admin password:
Successfully added or changed the agentless.
IMPORTANT: After you run this command, return to Manage Automation Agents. Verify that the certificate host appears and is configured.

A10 de alta disponibilidad

Para agregar un equilibrador de carga A10 de alta disponibilidad para la automatización basada en sensores, ejecute la utilidad addagentless con los argumentos -type A10 -ha VRRPA en el sistema del sensor.

Ejemplo de sesión de configuración interactiva:

Sensor CLI. Copyright 2021, DigiCert Inc.
Add or change login credentials and specify data IP addresses for certificate automation.
Enter management IP address:10.141.17.192
Enter Management Port (443):443
Important: Enter an account that has admin (superuser) permission to manage all partitions on the A10 load balancer.
Enter admin username:admin
Enter admin password:
Confirm admin password:
Enter SSH enable password:
Confirm SSH enable password:
For high availability configurations, enter the management IP address and login information for each additional load balancer in the configuration. To finish the list, press Return at the prompt (blank input).
Enter management IP address, port, and username (separated by commas):10.141.17.192,443,admin
Enter admin password:
Confirm admin password:
Enter management IP address, port, and username (separated by commas):
Successfully added or changed the agentless.
IMPORTANT: After you run this command, return to Manage Automation Agents. Verify that the certificate host appears and is configured.

Citrix NetScaler

Para agregar un equilibrador de carga Citrix NetScaler para la automatización basada en sensores, ejecute la utilidad addagentless con el argumento -type NETSCALER en el sistema del sensor.

Ejemplo de sesión de configuración interactiva:

Sensor CLI. Copyright 2020, DigiCert Inc.
Add or change login credentials and specify data IP addresses for certificate automation.
Enter the management IP:10.141.17.192
http or https:https
Enter management Port (443):443
If available, do you want to map this sensor with the previously voided loadbalancer (Y/N)?:N
Enter webservice username:nsroot
Enter webservice password:
Confirm webservice password:
Enter SSH username:nsroot
Enter SSH password:
Confirm SSH password:
Enter SSH port:22
Successfully added or changed the agentless. HA Pair peers are
Management IP : 10.141.17.192     (Primary)
The sensor may use any of these management IP addresses to perform certificate automation activities.
IMPORTANT: After you run this command, return to Manage Automation Agents in console. Verify that the certificate host appears and is configured.

F5 BIG-IP

Para agregar un equilibrador de carga F5 BIG-IP para la automatización basada en sensores, ejecute la utilidad addagentless con el argumento -type BIGIP en el sistema del sensor.

Ejemplo de sesión de configuración interactiva:

Sensor CLI. Copyright 2020, DigiCert Inc.
Add or change login credentials and specify data IP addresses for certificate automation.
Enter management IP address:10.141.17.192
Enter Management Port:443
If available, do you want to map this sensor with the previously voided load balancer (Y/N)?:N
Enter web service username: admin
Enter web service password:
Confirm web service password:
Successfully added or changed the agentless automation. This applies to the following HA Pair peers :
Management IP: 10.141.17.192  (ACTIVE)
Starting agentless configuration for this host. Go to Automated IPs in CertCentral to finish configuring host details and set up automation.

Cuando se agrega el equilibrador de carga F5 BIG-IP, el sensor recoge automáticamente información sobre IP/puertos que pueden automatizarse.

Para una automatización exitosa:

  • asegúrese de seleccionar solo los protocolos de red admitidos cuando configure las IP virtuales. Nota: El protocolo UDP no admite la automatización. Las IP virtuales configuradas con protocolos UDP se filtrarán y no se podrán descubrir.

  • Para los servidores virtuales configurados con plantillas de iApps, desactive las Actualizaciones estrictas para que la automatización sea satisfactoria. En la consola de F5, vaya a la carpeta Servicios de aplicación iApps y desactive la casilla Actualizaciones estrictas.

  • Para la configuración de su Servidor virtual, no añada una Dirección/máscara de destino. La automatización no puede identificar una dirección de destino especificada como xxx.xxx.xxx.xxx/0. La dirección aparecerá como 0.0.0.0. Estas IP no pueden automatizarse.

  • Para configuraciones de alta disponibilidad (HA), la utilidad addagentless solo debe ejecutarse una vez. Ingrese la IP flotante o la IP de administración de uno de los equilibradores de carga. El sensor detectará automáticamente la configuración del par de HA.

Amazon Web Services (AWS)

La automatización basada en sensores DigiCert admite Aplicación AWS/Equilibrador de carga de red (ALB/NLB) y AWS CloudFront. Tenga en cuenta lo siguiente:

  • Los nuevos certificados automatizados se almacenarán en Administrador de certificados AWS (ACM) independientemente del certificado original almacenado en el Sistema de gestión de acceso e identidades (IAM) AWS.

  • Al automatizar una distribución sin certificados, AWS recomienda modificar la configuración de distribución a:

    • SSLSupportMethod para sni-only

    • MinimumProtocolVersion para TLSv12_2019

Aviso

Los usuarios con acceso limitado requieren permisos para las políticas enumeradas.

Para AWS ALB/NLB:

Para AWS CloudFront:

Para agregar un equilibrador de carga AWS ALB-NLB para la automatización basada en sensores, ejecute la utilidad addagentless con el argumento -type AWS en el sistema del sensor.

Para agregar una distribución AWS CloudFront para la automatización basada en sensores, ejecute la utilidad addagentless con el argumento -type AWS-CLOUDFRONT en el sistema del sensor.

Durante la configuración, se le indica que seleccione uno de los siguientes métodos de inicio de sesión AWS:

  1. Utilizar la cadena de proveedores de credenciales de AWS predeterminada

  2. Proporcionar usted mismo las credenciales

  3. Usar un nombre de perfil de AWS

A continuación hay ejemplos de configuración interactiva de agregar un equilibrador de carga AWS ALB o NLB a un sensor, seleccionando estos 3 métodos distintos para el inicio de sesión (usando las pestañas en la parte superior para ver cada uno). Después de estos ejemplos, hay detalles adicionales acerca de las credenciales AWS.

Credenciales AWS: cadena del proveedor

Al agregar un equilibrador de carga AWS para la automatización basada en sensores, tiene la opción de usar una cadena de proveedor de credenciales AWS para el inicio de sesión. Con este método, las credenciales para el inicio de sesión se buscarán en la siguiente secuencia durante un evento de automatización:

  1. Variables del entorno: AWS_ACCESS_KEY_ID y AWS_SECRET_ACCESS_KEY.

    Nota: Es necesario reiniciar el sensor:

    • Si se añaden variables del entorno mientras el sensor ya está instalado y en ejecución.

    • Si las variables del entorno se actualizan o cambian mientras el sensor se está ejecutando.

  2. Archivo de perfiles de credenciales en la ubicación predeterminada (~/.aws/credentials) compartida por todos los SDK de AWS y CLI de AWS.

    Para una autenticación exitosa, recomendamos:

    • Añadir la variable del entorno AWS_CREDENTIAL_PROFILES_FILE.

    • Configurar el archivo de credenciales en una ubicación donde tanto el sensor como el usuario tengan acceso a él.

    Por ejemplo: AWS_CREDENTIAL_PROFILES_FILE=path/to/credentials_file

    Nota: Debe reiniciar el sensor si se realiza una actualización o cambio en las variables de entorno cuando el sensor se está ejecutando.

  3. Credenciales de perfil de instancia entregadas a través del servicio de metadatos de Amazon EC2.

    Para que la autenticación de las credenciales de la instancia sea correcta:

    1. El sensor debe estar instalado en la instancia EC2.

    2. El rol del sistema de administración de accesos e identidades (IAM) debe estar vinculado a una instancia EC2. Para crear y vincular el rol de IAM a una instancia, consulte Crear rol de IAM y Asignar rol de IAM a una instancia (a continuación).

    3. El rol de IAM asociado a la instancia debe tener la siguiente política de autorización:

Para más detalles, consulte la documentación de AWS.

Crear rol de IAM

  1. Inicie sesión en la consola de administración de AWS y seleccione el servicio IAM.

  2. En el menú de la barra lateral, seleccione Administración de acceso > Roles. A continuación, seleccione Crear rol.

  3. En la página Crear rol, seleccione el tipo de entidad de confianza del servicio AWS y el caso de uso de EC2. A continuación, seleccione Siguiente: Permisos.

  4. Seleccione las políticas que desea asignar al rol. A continuación, seleccione Siguiente: Etiquetas.

  5. Asigne etiquetas al rol (opcional) y seleccione Siguiente: Revisar.

  6. Introduzca un nombre de rol, añada una descripción (opcional) y seleccione Crear rol.

Asignar un rol IAM a una instancia

  1. En la consola de administración de AWS, seleccione el servicio EC2.

  2. En el menú de la barra lateral, seleccione Instancias.

  3. En la página Instancias, seleccione la instancia. A continuación, seleccione Acciones > Configuración de instancias > Adjuntar/sustituir el rol de IAM.

  4. En la página Adjuntar/sustituir rol de IAM, seleccione el rol de IAM que desea adjuntar a su instancia. A continuación, seleccione Aplicar.

Importante

Suministre las credenciales en al menos una de estas ubicaciones para que el sensor se conecte a AWS.

Credenciales AWS: nombre de perfil

Para utilizar un nombre de perfil de AWS para sus credenciales de inicio de sesión, configure el perfil con pares clave-valor. Puede hacerlo en el archivo de perfiles de credenciales de AWS situado en la ubicación predeterminada (~/.aws/credentials), que comparten todos los SDK de AWS y CLI de AWS.

Para una autenticación exitosa, recomendamos:

  • Añadir la variable del entorno AWS_CREDENTIAL_PROFILES_FILE.

  • Configurar el archivo de credenciales en una ubicación donde tanto el sensor como el usuario tengan acceso a él.

Por ejemplo: AWS_CREDENTIAL_PROFILES_FILE=path/to/credentials_file

[default]
aws_access_key_id = YOUR_ACCESS_KEY_ID
aws_secret_access_key = YOUR_SECRET_ACCESS_KEY

[profile1]
aws_access_key_id = YOUR_ACCESS_KEY_ID
aws_secret_access_key = YOUR_SECRET_ACCESS_KEY

[profile2]
aws_access_key_id = YOUR_ACCESS_KEY_ID
aws_secret_access_key = YOUR_SECRET_ACCESS_KEY

[profile3]
aws_access_key_id = YOUR_ACCESS_KEY_ID
aws_secret_access_key = YOUR_SECRET_ACCESS_KEY

Si está trabajando con varias cuentas de AWS, puede cambiar fácilmente entre sus cuentas creando varios perfiles (conjuntos de credenciales) en su archivo de credenciales.

Cada sección (por ejemplo, [default], [profile1], [profile2]), representa un perfil de credencial independiente. La palabra clave entre corchetes es su nombre de perfil.

Importante

Si no especifica el nombre del perfil de AWS como inicio de sesión, se utilizará el Id. de la cuenta de AWS como credencial de inicio de sesión.

En esta sección: