Skip to main content

Exemples de configuration du capteur

Après l’installation et l'activation d'un capteur, vous devez effectuer une configuration initiale sur le capteur lui-même pour ajouter les appliances réseau à l’automatisation. Cette configuration initiale peut se faire soit de manière interactive par ligne de commande, soit par l'ajout et la lecture de paramètres de configuration via un fichier texte.

Les exemples ci-dessous présentent l’utilisation de la méthode de configuration interactive pour ajouter divers types d'appliances réseau à l’automatisation par capteur.

Important

Le mot de passe de connexion de chaque appliance doit répondre aux exigences de DigiCert relatives au mot de passe pour qu'il fonctionne avec l'automatisation. Le mot de passe doit contenir des lettres minuscules et majuscules, des chiffres ou des symboles.

Symboles autorisés pour différents types d'appliances réseau :

  • A10: !@#$%^()-+_ {}[]~?:./

  • Citrix NetScaler: ~!@#$%^*()_+-|`{}[]:;?/,."

  • F5 BIG-IP: ~!@#$%^&*()_+`-={}[]|;:'"<>,./?

A10

Pour ajouter une automatisation par capteur sur un équilibreur de charge A10, lancez l’utilitaire addagentless avec l’argument -type A10 sur le système capteur.

Exemple de session de configuration interactive :

Sensor CLI. Copyright 2020, DigiCert Inc.
Add or change login credentials and specify data IP addresses for certificate automation.
Enter management IP address:10.141.17.192
Enter Management Port (443):443
If available, do you want to map this sensor with the previously voided loadbalancer (Y/N)?:N
Important: Enter an account that has admin (superuser) permission to manage all partitions on the A10 load balancer.
Enter admin username:admin
Enter admin password:
Confirm admin password:
Successfully added or changed the agentless.
IMPORTANT: After you run this command, return to Manage Automation Agents. Verify that the certificate host appears and is configured.

Haute disponibilité A10

Pour ajouter une automatisation par capteur sur un équilibreur de charge haute disponibilité A10, lancez l’utilitaire addagentless avec les arguments -type A10 -ha VRRPA sur le système capteur.

Exemple de session de configuration interactive :

Sensor CLI. Copyright 2021, DigiCert Inc.
Add or change login credentials and specify data IP addresses for certificate automation.
Enter management IP address:10.141.17.192
Enter Management Port (443):443
Important: Enter an account that has admin (superuser) permission to manage all partitions on the A10 load balancer.
Enter admin username:admin
Enter admin password:
Confirm admin password:
Enter SSH enable password:
Confirm SSH enable password:
For high availability configurations, enter the management IP address and login information for each additional load balancer in the configuration. To finish the list, press Return at the prompt (blank input).
Enter management IP address, port, and username (separated by commas):10.141.17.192,443,admin
Enter admin password:
Confirm admin password:
Enter management IP address, port, and username (separated by commas):
Successfully added or changed the agentless.
IMPORTANT: After you run this command, return to Manage Automation Agents. Verify that the certificate host appears and is configured.

Citrix NetScaler

Pour ajouter une automatisation par capteur sur un équilibreur de charge Citrix NetScaler, lancez l’utilitaire addagentless avec l’argument -type NETSCALER sur le système capteur.

Exemple de session de configuration interactive :

Sensor CLI. Copyright 2020, DigiCert Inc.
Add or change login credentials and specify data IP addresses for certificate automation.
Enter the management IP:10.141.17.192
http or https:https
Enter management Port (443):443
If available, do you want to map this sensor with the previously voided loadbalancer (Y/N)?:N
Enter webservice username:nsroot
Enter webservice password:
Confirm webservice password:
Enter SSH username:nsroot
Enter SSH password:
Confirm SSH password:
Enter SSH port:22
Successfully added or changed the agentless. HA Pair peers are
Management IP : 10.141.17.192     (Primary)
The sensor may use any of these management IP addresses to perform certificate automation activities.
IMPORTANT: After you run this command, return to Manage Automation Agents in console. Verify that the certificate host appears and is configured.

F5 BIG-IP

Pour ajouter une automatisation par capteur sur un équilibreur de charge F5 BIG-IP, lancez l’utilitaire addagentless avec l'argument -type BIGIP sur le système capteur.

Exemple de session de configuration interactive :

Sensor CLI. Copyright 2020, DigiCert Inc.
Add or change login credentials and specify data IP addresses for certificate automation.
Enter management IP address:10.141.17.192
Enter Management Port:443
If available, do you want to map this sensor with the previously voided load balancer (Y/N)?:N
Enter web service username: admin
Enter web service password:
Confirm web service password:
Successfully added or changed the agentless automation. This applies to the following HA Pair peers :
Management IP: 10.141.17.192  (ACTIVE)
Starting agentless configuration for this host. Go to Automated IPs in CertCentral to finish configuring host details and set up automation.

Une fois l’équilibreur de charge F5 BIG-IP ajouté, le capteur collecte automatiquement des informations sur les IP/ports qui peuvent être automatisés.

Pour une automation réussie :

  • Veillez à sélectionner uniquement les protocoles réseau pris en charge lors de la configuration des IP virtuelles. Remarque : Le protocole UDP ne prend pas en charge l'automation. Les IP virtuelles configurées à l'aide des protocoles UDP seront filtrées et ne pourront pas être découvertes.

  • Pour une automation réussie, désactivez les mises à jour strictes pour les serveurs virtuels configurés avec des modèles iApp. Dans la console F5, accédez au dossier iApps Application Services et décochez la case Strict Updates (Mises à jour strictes).

  • Pour votre configuration de serveur virtuel, n'ajoutez pas d’adresse/masque de destination. L'automation ne peut pas identifier une adresse de destination spécifiée sous la forme xxx.xxx.xxx.xxx/0. L'adresse apparaîtra sous la forme 0.0.0.0. De telles adresses IP ne peuvent pas être automatisées.

  • Pour les configurations haute disponibilité, l’utilitaire addagentless ne doit être lancé qu'une seule fois. Saisissez soit l’IP flottante, soit l’IP de gestion d’un des équilibreurs de charge. Le capteur détectera automatiquement la configuration du pair haute disponibilité.

Amazon Web Services (AWS)

L'automation par capteur DigiCert prend en charge AWS Application/Network Load Balancer (ALB/NLB) et AWS CloudFront. À noter :

  • Les certificats nouvellement automatisés seront stockés dans AWS Certificate Manager (ACM) indépendamment du certificat original stocké dans AWS Identity and Access Management (IAM).

  • Dans le cadre de l'automation d'une distribution sans certificat, AWS recommande de modifier les paramètres de distribution de la manière suivante :

    • SSLSupportMethod à sni-only

    • MinimumProtocolVersion à TLSv12_2019

Avis

Les utilisateurs disposant d'un accès limités doivent obtenir les autorisations aux stratégies suivantes.

Pour AWS ALB/NLB :

Pour AWS CloudFront :

Pour ajouter une automatisation par capteur sur un équilibreur de charge AWS ALB/NLB, exécutez l’utilitaireaddagentless avec l'argument -type AWS sur le système capteur.

Pour ajouter une automatisation par capteur sur une distribution AWS CloudFront, exécutez l’utilitaire addagentless avec l’argument -type AWS-CLOUDFRONT sur le système capteur.

Pendant la configuration, il vous sera demandé de choisir une méthode de connexion à AWS parmi les méthodes suivantes :

  1. Utiliser la chaîne de fournisseurs d'informations d'identification AWS par défaut

  2. Fournir vous-même les informations d'identification

  3. Utiliser un nom de profil AWS

Vous trouverez ci-dessous des exemples de configuration interactive pour l'ajout d'un équilibreur de charge AWS ALB ou NLB à un capteur, en sélectionnant chacune de ces 3 méthodes de connexion (utilisez les onglets en haut pour les visualiser). Des détails supplémentaires concernant les identifiants AWS sont disponibles sous ces exemples.

Identifiants AWS : Chaîne de fournisseurs

Lors de l’ajout d'un équilibreur de charge AWS à une automatisation par capteur, vous avez la possibilité de vous connecter à l’aide de la chaîne de fournisseurs d’identifiants AWS. Avec cette méthode, les identifiants de connexion seront réclamés dans la séquence suivante lors d'un événement d'automatisation :

  1. Variables d’environnement – AWS_ACCESS_KEY_ID et AWS_SECRET_ACCESS_KEY.

    Remarque : Vous êtes tenu de redémarrer le capteur :

    • Si les variables d'environnement sont ajoutées alors que le capteur est déjà installé et en cours d'exécution.

    • Si les variables d'environnement sont mises à jour ou modifiées alors que le capteur est en cours d'exécution.

  2. Fichier de profils d'authentification à l'emplacement par défaut (~/.aws/credentials) partagé par tous les SDK AWS et l'AWS CLI.

    Pour une authentification réussie, nous recommandons :

    • D'ajouter la variable d'environnement AWS_CREDENTIAL_PROFILES_FILE.

    • De définir le fichier d'accréditation à un emplacement où le capteur et l'utilisateur y ont accès.

    Par exemple : AWS_CREDENTIAL_PROFILES_FILE=path/to/credentials_file

    Remarque : Vous devez redémarrer le capteur si une mise à jour ou une modification est apportée aux variables d'environnement alors que le capteur est en cours d'exécution.

  3. Les informations d'identification du profil de l'instance fournies par le service de métadonnées Amazon EC2.

    Pour que l’authentification des informations d'identification de l'instance soit réussie :

    1. Le capteur doit être installé sur l'instance EC2.

    2. Le rôle IAM (Identity and Access Management) doit être lié à une instance EC2. Pour créer et lier le rôle IAM à une instance, consultez les pages Créer un rôle IAM et Attribuer un rôle IAM à une instance.

    3. Le rôle IAM associé à l'instance doit avoir l'autorisation de politique suivante :

Pour obtenir plus d'informations, consultez notre documentation AWS.

Créer un rôle IAM

  1. Connectez-vous à la console de gestion AWS et sélectionnez le service IAM.

  2. Dans le menu latéral, sélectionnez Access management > Roles (Gestion des accès > Rôles). Puis, sélectionnez Create role (Créer un rôle).

  3. Sur la page « Créer un rôle », sélectionnez le type d'entité de confiance du service AWS et le cas d'utilisation EC2. Puis sélectionnez Next Permissions (Suivant : Autorisations).

  4. Sélectionnez les politiques que vous souhaitez affecter au rôle. Puis cliquez sur Next: Tags (Suivant : Balises).

  5. Attribuez des balises au rôle (facultatif) puis sélectionnez Next: Review (Suivant : Examiner).

  6. Saisissez un nom de rôle, ajoutez une description (facultatif), puis sélectionnez Create role (Créer un rôle).

Attribuer un rôle IAM à une instance

  1. Dans la console de gestion AWS, sélectionnez le service EC2.

  2. Dans le menu latéral, sélectionnez Instances.

  3. Sur la page « Instances », sélectionnez l'instance. Puis, sélectionnez Actions > Instances Settings > Attach/Replace IAM Role (Actions > Paramètres des Instances > Joindre/Remplacer le rôle IAM).

  4. Sur la page Joindre/Remplacer le rôle IAM, sélectionnez le rôle IAM que vous souhaitez joindre à votre instance. Puis sélectionnez Apply (Appliquer).

Important

Fournissez des informations d'identification dans au moins un de ces emplacements pour que le capteur puisse se connecter à AWS.

Identifiants AWS : nom du profil

Afin d’utiliser un nom de profil AWS pour vos informations d'identification de connexion, définissez le profil avec des paires clé-valeur. Vous pouvez le faire dans le fichier de profils d'informations d'identification AWS situé à l'emplacement par défaut (~/.aws/credentials), qui est partagé par tous les SDK AWS et l'AWS CLI.

Pour une authentification réussie, nous recommandons :

  • D'ajouter la variable d'environnement AWS_CREDENTIAL_PROFILES_FILE.

  • De définir le fichier d'accréditation à un emplacement où le capteur et l'utilisateur y ont accès.

Par exemple : AWS_CREDENTIAL_PROFILES_FILE=path/to/credentials_file

[default]
aws_access_key_id = YOUR_ACCESS_KEY_ID
aws_secret_access_key = YOUR_SECRET_ACCESS_KEY

[profile1]
aws_access_key_id = YOUR_ACCESS_KEY_ID
aws_secret_access_key = YOUR_SECRET_ACCESS_KEY

[profile2]
aws_access_key_id = YOUR_ACCESS_KEY_ID
aws_secret_access_key = YOUR_SECRET_ACCESS_KEY

[profile3]
aws_access_key_id = YOUR_ACCESS_KEY_ID
aws_secret_access_key = YOUR_SECRET_ACCESS_KEY

Si vous travaillez avec plusieurs comptes AWS, vous pouvez facilement passer d'un compte à l'autre en créant plusieurs profils (ensembles d'informations d'identification) dans votre fichier d'informations d'identification.

Chaque section (par exemple, [default], [profile1], [profile2]), représente un profil d’identifiant distinct. Le mot clé entre crochets correspond au nom de votre profil.

Important

Si vous ne spécifiez pas le nom du profil AWS comme identifiant, nous utiliserons l'identifiant du compte AWS comme identifiant de connexion.