Skip to main content

Opciones de implementación

Automatización administrada

La automatización administrada es la solución de automatización lista para ser usada. Es lo más escalable y más fácil de configurar y mantener.

Hay dos escenarios de implementación principales a considerar para la automatización administrada donde los certificados TLS se ubican:

  • host estándar, como servidores web

    Para automatizar la administración de certificados en un host estándar, instala un software liviano llamado un "agente ACME" en él. El agente ACME usa el protocolo ACME estándar del sector para administrar los certificados en cada host.

  • Dispositivos de red, como equilibradores de carga

    No es posible instalar el software del agente ACME en un dispositivo de red propietario. En cambio, debe instalar un software distinto llamado "sensor" en otro sistema en su red. El sensor usa llamadas API para administrar de manera remota los certificados en uno o más dispositivos de red.

Aviso

Una instalación de automatización completa en general incluye una combinación de muchos hosts y dispositivos de red distintos. Cada host individual debe tener el software de agente ACME instalado en él, pero usted puede administrar varios dispositivos de red desde una instalación de un solo sensor.

managed_automation_deployment.png

Automatización administrada para hosts estándar (basada en un agente ACME)

Automatizar certificados en hosts estándar requiere que instale el software de agente ACME en cada uno de ellos.

El agente es el cliente de automatización de host nativo de DigiCert, que incluye el protocolo ACME estándar del sector más funciones de administración de nivel alto. Admite automatizaciones de certificados para servidores web como Microsoft IIS, servidor HTTP Apache, Apache Tomcat, Nginx y servidor HTTP IBM.

Descargar el software de agente de CertCentral. Está diseñado para ser seguro y liviano, sin una repercusión en el sistema ni en el desempeño de la red. Una vez instalado, el agente ACME se mantiene a sí mismo actualizado, así que no necesita un mantenimiento constante.

Cada agente ACME usa un modelo de comunicaciones "pull" para sincronizarse con la nube de DigiCert a través de un enlace asegurado. No se requiere una configuración de red ni cambios en el firewall. La integridad de la red permanece intacta.

Nota

Para hosts que deben atravesar un servidor proxy para conectarse a Internet, tiene la opción de usar un sensor de DigiCert como proxy. Usar un sensor como proxy ofrece opciones adicionales de tolerancia a errores para las automatizaciones de sus certificados.

Automatización administrada para dispositivos de red (basados en sensores)

Como no es posible instalar el software de agente ACME en dispositivos de red propietarios, debe, en cambio, usar el software de sensor basado en la red.

El sensor es el cliente de automatización nativo de DigiCert para administrar certificados TLS en dispositivos de propietarios como equilibradores de carga. Admite automatizaciones de certificados para equilibradores de carga exclusivos (como F5 BIG-IP LTM, Citrix NetScaler, A10) así como servicios de equilibradores de carga basados en la nube (como Amazon ELB y CloudFront). Un sensor también puede actuar como un proxy para agentes ACME, brindando servicios de conmutación por error de automatización a ellos.

Puede descargar el software de sensor de CertCentral. La configuración del sensor depende de los tipos de dispositivos de red que administra y si brinda servicios de proxy/conmutación por error. Una vez instalado, el sensor se mantiene a sí mismo actualizado, así que no necesita un mantenimiento constante.

Un único sensor puede administrar automatizaciones y brindar servicios de proxy para muchos sistemas distintos. Esto puede incluir una combinación de equilibradores de carga de hardware y basados en la nube, además de cualquier host local en donde actúe como proxy. El sensor se debe instalar en un host exclusivo en la red que pueda comunicarse con todos estos sistemas.

Como el agente de DigiCert, el software de sensor está diseñado para una operación segura y sin ningún problema, sin una repercusión en el desempeño ni en la integridad de la red.

Nota

El mismo sensor y software de agente utilizado por el servicio de automatización de CertCentral también es utilizado por el servicio Discovery. Si ya tiene sensores o agentes instalados para Discovery, puede usarlos para la automatización también, y viceversa.

Las automatizaciones basadas en sensores también se conocen como "sin agente" o "remotas" ya que no requieren un agente instalado a nivel local en cada sistema.

Automatización con clientes ACME de terceros

El servicio de automatización de CertCentral también admite el uso de clientes ACME de terceros, como Certbot de EFF y el administrador de certificados Kubernetes. En este caso, usted usa el cliente ACME de terceros en vez del agente ACME nativo de DigiCert.

Para clientes ACME de terceros, debe descargar el software fuera de CertCentral, instalándolo por separado en cada host que ejecutará las automatizaciones de certificados. Los clientes ACME instalados se deben configurar según sus propios requisitos de implementación y debe poder acceder a la nube de DigiCert.

Las siguientes son las limitaciones potenciales que se deben considerar al usar clientes ACME de terceros con el servicio de automatización de CertCentral:

  • La falta de soporte para dispositivos de red propietarios, como equilibradores de carga.

  • La falta de actualizaciones de software automatizadas. Cada cliente debe mantenerse manualmente.

  • La falta de características de administración centralizada. Las acciones de automatización se deben iniciar a nivel local en cada cliente.

  • Pueden requerir cambios adicionales en la red y en el firewall.

Debido a las limitaciones mencionadas más arriba, DigiCert solo recomienda el uso de clientes ACME de terceros para implementaciones de automatización de tamaño más pequeño o para clientes como el administrador de certificados Kubernetes que admiten a nivel nativo automatizaciones de alto volumen desde una ubicación centralizada.

Automatización a través de llamadas API

Una forma final de implementar la automatización es a través de la biblioteca de API de DigiCert. Las llamadas API se ofrecen para distintas funciones de automatización administrada como las acciones INSCRIBIR y RENOVAR del certificado. La API le permite integrar y desencadenar estas acciones de automatización directamente desde las aplicaciones web personalizadas.

La API de servicio de automatización requiere que los agentes y sensores de DigiCert ya estén instalados y configurados en los sistemas relevantes. Si bien la API inicia las acciones de automatización, el trabajo real de descargar e instalar los certificados aún lo realizan los clientes de automatización administrada.