Options de déploiement
Automatisation managée
L'automatisation managée est la solution d'automatisation clé en main de DigiCert. Il s'agit de l’option d'installation et d’entretien la plus évolutive et la plus simple d'utilisation.
Il existe deux scénarios de déploiement à prendre en compte pour l'automatisation managée, qui dépendent d’où les certificats TLS se trouvent.
Hôtes ordinaires, tels que des serveurs Web
Pour automatiser la gestion des certificats sur un hôte standard, vous y installez un programme léger intitulé « agent ACME ». L'agent ACME utilise le protocole ACME, qui est un standard dans l’industrie, pour gérer les certificats sur chaque hôte.
Appliances réseau, telles que les équilibreurs de charge
Il n’est pas possible d'installer d'agent ACME sur une appliance réseau propriétaire. À la place, vous devez installer un genre de programme différent appelé un « capteur » (« sensor » en anglais) sur chaque système de votre réseau. Le capteur utilise les appels d’API pour gérer les certificats à distance sur une ou plusieurs appliances.
Avis
Le déploiement complet de l’automatisation implique généralement un mélange de différents hôtes et appliances réseau. Chaque hôte individuel doit disposer d'un agent ACME installé. En revanche, vous pouvez gérer plusieurs appliances réseau à partir d'une seule installation de capteur.
Automatisation managée pour des hôtes standard (basés sur un agent ACME)
L'automatisation des certificats sur des hôtes ordinaires nécessite d'installer le logiciel agent ACME sur chacun d’entre eux.
L'agent est le client d'automatisation d'hôte natif de DigiCert. Il comprend le protocole standard ACME et des fonctions de gestion de haut niveau. Il prend en charge l’automatisation de certificats pour les serveurs web tels que Microsoft IIS, Apache HTTP Server, Apache Tomcat, Nginx et IBM HTTP Server.
Vous téléchargez l’agent depuis CertCentral. Il est conçu pour être léger, sécurisé, et ne pas affecter les performances système ou réseau. Une fois installé, l’agent ACME se met à jour automatiquement, de sorte qu’aucune maintenance n’est nécessaire.
Chaque agent ACME utilise le modèle de communication « pull » pour se synchroniser avec le cloud DigiCert via une liaison sécurisée. Aucune configuration réseau ni modification des règles de pare-feu n’est nécessaire. L'intégrité réseau reste intacte.
Note
Pour les hôtes qui doivent passer par un serveur proxy pour se connecter à Internet, il est possible d'utiliser un capteur DigiCert comme proxy. L’utilisation d'un capteur comme proxy apporte des options de tolérance aux pannes supplémentaires pour l’automatisation de vos certificats.
Automatisation managée pour les appliances réseau (basée sur des capteurs)
Comme il n’est pas possible d'installer d'agent ACME sous forme logicielle sur des appliances réseau propriétaires, vous devez installer un capteur basé sur le réseau.
Le capteur est le client d'automatisation natif de DigiCert permettant de gérer les certificats TLS sur des appliances réseau propriétaires, telles que des équilibreurs de charge. Il prend en charge les automatisations de certificats sur les équilibreurs de charge dédiés (par ex. F5 BIG-IP, LTM, Citrix NetScaler, A10) ainsi que sur les services d'équilibrage de charge dans le cloud (par ex. Amazon ELB et CloudFront). Un capteur peut également agir en tant que proxy pour les agents ACME, et offrir des services de failover pour l’automatisation.
Le capteur se télécharge depuis CertCentral. La configuration du capteur dépend des types d'appliances réseau qu'il doit gérer, et de vos besoins de services de proxy/failover. Une fois installé, le capteur se maintient à jour, de sorte qu'aucune maintenance n’est requise.
Un seul capteur peut gérer des automatisations et fournir des services de proxy à plusieurs systèmes différents. Cela peut inclure un mélange d'équilibreurs de charge matériels et dans le cloud, ainsi que plusieurs hôtes locaux sur lesquels il agit en tant que proxy. Le capteur doit être installé sur un hôte dédié sur le réseau capable de communiquer avec tous ces systèmes.
Comme l’agent DigiCert, le capteur est conçu pour un fonctionnement sécurisé et transparent, sans impact sur les performances ou l’intégrité réseau.
Note
Le même capteur et agent utilisé par le service d'automatisation CertCentral est également utilisé pour le service de découverte. Si vous avez déjà des capteurs ou agents installés pour la découverte, vous pouvez également les utiliser pour l’automatisation, et vice-versa.
L'automatisation basée sur des capteurs est également appelée « sans-agent » ou « distante », puisqu’elle ne nécessite pas d'installer un agent en local sur chaque système.
Automatisation avec des clients ACME tiers
Le service d'automatisation CertCentral est également compatible avec les clients ACME tiers, tels qu’EFF cerbot et Kubernetes cert-manager. Dans ce cas, vous devez utiliser le client ACME tiers au lieu de l’agent ACME natif de DigiCert.
Pour les clients ACME tiers, vous devez télécharger le logiciel en-dehors de CertCentral, et l’installer séparément sur chaque hôte sur lequel vous souhaitez automatiser les certificats. Les clients ACME installés doivent être installés conformément à leurs règles de déploiement spécifiques et doivent pouvoir accéder au cloud DigiCert.
Les points suivants représentent des limitations potentielles dont vous devez tenir compte si vous souhaitez utiliser des clients ACME tiers avec le service d'automatisation CertCentral :
Pas de prise en charge des appliances réseau propriétaires telles que les équilibreurs de charge.
Pas de mises à jour logicielles automatisées. Chaque client doit être maintenu manuellement.
Pas de fonctionnalités de gestion centralisée. Les actions d'automatisation doivent être initiées en local sur chaque client.
Des modifications du réseau ou des règles de pare-feu peuvent être nécessaires.
Compte tenu des limitations ci-dessus, DigiCert ne recommande l’utilisation de clients ACME tiers que pour les déploiements d'automatisation à petite échelle, ou pour les clients tels que Kubernetes cert-manager qui prennent nativement en charge les automatisations à grande échelle depuis un point centralisé.
Automatisation via des appels d’API
La dernière manière de déployer l’automatisation est de recourir à la bibliothèque d’API DigiCert. Les appels d’API sont disponibles pour les différentes fonctions d'automatisation managée, telles que les actions de certificat ENROLL (INSCRIRE) et RENEW (RENOUVELER). L’API vous permet d’intégrer et de déclencher ces actions d'automatisation directement depuis des applications web personnalisées.
L’API de service d'automatisation nécessite que des agents ou capteurs DigiCert soient déjà installés et configurés sur les systèmes concernés. Bien que l’API lance les actions d'automatisation, le téléchargement et l’installation des certificats proprement dits restent effectués par les clients d'automatisation managée.