Opzioni di distribuzione
Automazione gestita
L'automazione gestita è una soluzione di automazione preconfigurata di DigiCert. È la soluzione più scalabile e facile da impostare e mantenere.
Per l’automazione gestita esistono due scenari di distribuzione principali da considerare, in base a dove si trovano i certificati TLS:
Host standard, come server web
Per automatizzare la gestione dei certificati in un host standard, installa un parte di software leggera chiamata "agente ACME". L’agente ACME utilizza il protocollo ACME standard di settore per gestire i certificati su ciascun host.
Applicazioni di rete, come bilanciamenti del carico
Non è possibile installare il software agente ACME su un’applicazione di rete proprietaria. Anzi, devi installare una parte di software diversa chiamata "sensore" in un altro sistema sulla rete. Il sensore utilizza chiamate API per gestire da remoto i certificati su una o più applicazioni di rete.
Avviso
Una distribuzione dell’automazione completa di solito comprende un mix di molti host e applicazioni di rete diversi. Ciascun singolo host deve avere il software agente ACME installato, ma puoi gestire più applicazioni di rete da una singola installazione sensore.
Automazione gestita per host standard (basati su agente ACME)
L’automazione dei certificati su host standard richiede l’installazione del software agente ACME su ciascuno di essi.
L’agente è un client di automazione host nativo di DigiCert, che include il protocollo ACME standard di settore con funzioni di gestione di alto livello. Supporta le automazioni certificato per i server web che includono Microsoft IIS, Apache HTTP Server, Apache Tomcat, Nginx, e IBM HTTP Server.
Scarica il software agente da CertCentral. È studiato per essere protetto e leggero, senza impatti sulle prestazioni del sistema o della rete. Una volta installato, l’agente ACME si mantiene aggiornato, quindi non è necessaria alcuna manutenzione continua.
Ciascun agente ACME utilizza un modello di comunicazione a "estrazione" per sincronizzarsi con il cloud DigiCert su un link protetto. Non occorre alcuna configurazione di rete o modifica al firewall. L’integrità della rete rimane intatta.
Nota
Per gli host che sono necessari per procedere ad un server proxy per collegarsi a Internet, hai la possibilità di utilizzare un sensore DigiCert come proxy. L’utilizzo di un sensore come proxy fornisce altre opzioni di tolleranza errori per le tue automazioni certificato.
Automazione gestita per applicazioni di rete (basate su sensore)
Poiché non è possibile installare il software agente ACME sulle applicazioni di rete proprietarie, devi invece utilizzare il software sensore basato su rete.
Il sensore è un client di automazione nativo di DigiCert per la gestione dei certificati TLS sulle applicazioni di rete proprietarie come i bilanciamenti del carico. Supporta le automazioni certificato per i bilanciamenti del carico dedicati (come F5 BIG-IP LTM, Citrix NetScaler, A10) nonché il servizi di bilanciamento del carico basati su cloud (come Amazon ELB e CloudFront). Un sensore può anche fungere da proxy per agenti ACME, fornendo servizi di failover automazione.
Scarica il software sensore da CertCentral. La configurazione del sensore dipende dai tipi di applicazioni di rete che gestisce e dal fatto che fornisce servizi proxy/failover. Una volta installato, il sensore si mantiene aggiornato, quindi non occorre alcuna manutenzione continua.
Un solo sensore può gestire le automazioni e fornire servizi proxy per molti sistemi diversi. Ciò può includere un mix di hardware e bilanciamenti del carico basati su cloud, più qualsiasi host locale dove funge da proxy. Il sensore deve essere installato su un host dedicato sulla rete in grado di comunicare con tutti questi sistemi.
Come l'agente DigiCert, il software sensore è studiato per un funzionamento sicuro e regolare, senza impatti sulle prestazioni di rete o sull’integrità.
Nota
Lo stesso software sensore e agente usato dal servizio di automazione CertCentral viene usato anche dal servizio discovery. Se hai già dei sensori o degli agenti installati per discovery, puoi usarli anche per l’automazione e viceversa.
Le automazioni basate su sensore sono indicate anche come "agentless" o "remote" poiché non richiedono un agente installato localmente su ciascun sistema.
Automazione con client ACME di terze parti
Il servizio di automazione CertCentral supporta anche l’uso di client ACME di terze parti, come EFF certbot e Kubernetes cert-manager. In questo caso, utilizzi il client ACME di terze parti al posto dell’agente ACME nativo di DigiCert.
Per i client ACME di terze parti, devi scaricare il software fuori da CertCentral, installandolo separatamente su ciascun host che eseguirà le automazioni certificato. I client ACME installati devono essere configurati in base ai loro requisiti di utilizzo univoci e devono essere in grado di accedere al cloud DigiCert.
Di seguoto sono riportate le potenziali limitazioni da considerare quando si utilizzano client ACME di terze parti con il servizio di automazione CertCentral:
Mancanza di assistenza per le applicazioni di rete proprietarie come bilanciamenti del carico.
Mancanza di aggiornamenti software automatizzati. Ciascun client deve essere mantenuto manualmente.
Mancanza di funzioni di gestione centralizzate. Le azioni di automazione devono essere avviate localmente su ciascun client.
Possono richiedere altre modifiche di rete e firewall.
A causa delle limitazioni sopra riportate, DigiCert raccomanda solo l’utilizzo di client ACME di terze parti per gli utilizzi di automazioni di dimensioni inferiori o per i client come Kubernetes cert-manager che supportano nativamente automazioni di alto volume da una sede centralizzata.
Automazione tramite chiamate API
Un ultimo modo per utilizzare l’automazione è tramite la libreria DigiCert API. Le chiamate API sono fornite per le varie funzioni di automazione gestita come le azioni ISCRIVI e RINNOVA certificato. L’API consente di integrare e attivare queste azioni di automazione direttamente dalle applicazioni web personalizzate.
L’API dei servizi di automazione richiede che l’agente e i sensori DigiCert siano già installati e configurati sui relativi sistemi. Mentre l’API avvia le azioni di automazione, il lavoro effettivo di scaricamento e installazione dei certificati viene ancora eseguito dai clienti di automazione gestita.