Esempi di configurazione sensore
Dopo l’installazione e l’attivazione di un sensore, devi eseguire la configurazione iniziale sul sensore stesso per aggiungere le applicazioni di rete per l'automazione. Questa configurazione iniziale può essere eseguita interattivamente per la riga di comando oppure aggiungendo e leggendo i parametri di configurazione da un file di testo.
Gli esempi di seguito dimostrano l’utilizzo di un metodo di configurazione interattivo per aggiungere vari tipi di applicazione di rete per l’automazione basata su sensore.
Importante
La password di login di ciascuna applicazione di rete deve rispondere ai requisiti di password DigiCert, in modo che funzioni con l’automazione. La password deve contenere lettere minuscole e maiuscole, numeri o simboli.
I simboli consentiti per i diversi tipi di applicazione di rete:
A10: !@#$%^()-+_ {}[]~?:./
Citrix NetScaler: ~!@#$%^*()_+-|`{}[]:;?/,."
F5 BIG-IP: ~!@#$%^&*()_+`-={}[]|;:'"<>,./?
A10
Per aggiungere un bilanciamento del carico A10 per l’automazione basata su sensore, esegui l’utility addagentless
con l’argomento -type A10
sul sistema sensore.
Esempio di sessione di configurazione interattiva:
Sensor CLI. Copyright 2020, DigiCert Inc. Add or change login credentials and specify data IP addresses for certificate automation. Enter management IP address:10.141.17.192 Enter Management Port (443):443 If available, do you want to map this sensor with the previously voided loadbalancer (Y/N)?:N Important: Enter an account that has admin (superuser) permission to manage all partitions on the A10 load balancer. Enter admin username:admin Enter admin password: Confirm admin password: Successfully added or changed the agentless. IMPORTANT: After you run this command, return to Manage Automation Agents. Verify that the certificate host appears and is configured.
A10 high availability
Per aggiungere un bilanciamento del carico A10 high availability per l’automazione basata su sensore, esegui l’utility addagentless
con gli argomenti -type A10 -ha VRRPA
sul sistema sensore.
Esempio di sessione di configurazione interattiva:
Sensor CLI. Copyright 2021, DigiCert Inc. Add or change login credentials and specify data IP addresses for certificate automation. Enter management IP address:10.141.17.192 Enter Management Port (443):443 Important: Enter an account that has admin (superuser) permission to manage all partitions on the A10 load balancer. Enter admin username:admin Enter admin password: Confirm admin password: Enter SSH enable password: Confirm SSH enable password: For high availability configurations, enter the management IP address and login information for each additional load balancer in the configuration. To finish the list, press Return at the prompt (blank input). Enter management IP address, port, and username (separated by commas):10.141.17.192,443,admin Enter admin password: Confirm admin password: Enter management IP address, port, and username (separated by commas): Successfully added or changed the agentless. IMPORTANT: After you run this command, return to Manage Automation Agents. Verify that the certificate host appears and is configured.
Citrix NetScaler
Per aggiungere un bilanciamento del carico Citrix NetScaler per l’automazione basata su sensore, esegui l’utility addagentless
con l’argomento -type NETSCALER
sul sistema sensore.
Esempio di sessione di configurazione interattiva:
Sensor CLI. Copyright 2020, DigiCert Inc. Add or change login credentials and specify data IP addresses for certificate automation. Enter the management IP:10.141.17.192 http or https:https Enter management Port (443):443 If available, do you want to map this sensor with the previously voided loadbalancer (Y/N)?:N Enter webservice username:nsroot Enter webservice password: Confirm webservice password: Enter SSH username:nsroot Enter SSH password: Confirm SSH password: Enter SSH port:22 Successfully added or changed the agentless. HA Pair peers are Management IP : 10.141.17.192 (Primary) The sensor may use any of these management IP addresses to perform certificate automation activities. IMPORTANT: After you run this command, return to Manage Automation Agents in console. Verify that the certificate host appears and is configured.
F5 BIG-IP
Per aggiungere un bilanciamento del carico F5 BIG-IP per l’automazione basata su sensore, esegui l’utility addagentless
con l’argomento -type BIGIP
sul sistema sensore.
Esempio di sessione di configurazione interattiva:
Sensor CLI. Copyright 2020, DigiCert Inc. Add or change login credentials and specify data IP addresses for certificate automation. Enter management IP address:10.141.17.192 Enter Management Port:443 If available, do you want to map this sensor with the previously voided load balancer (Y/N)?:N Enter web service username: admin Enter web service password: Confirm web service password: Successfully added or changed the agentless automation. This applies to the following HA Pair peers : Management IP: 10.141.17.192 (ACTIVE) Starting agentless configuration for this host. Go to Automated IPs in CertCentral to finish configuring host details and set up automation.
Quando il bilanciamento del carico F5 BIG-IP è stato aggiunto, il sensore raccoglie automaticamente informazioni su IP/porte che possono essere automatizzati.
Per un’automazione corretta:
Accertati di selezionare solo protocolli di rete supportati, quando configuri IP virtuali. Nota: il protocollo UDP non supporta l’automazione. Gli IP virtuali configurati usando protocolli UDP verranno filtrati e non possono essere scoperti.
Per un’automazione corretta, nei server virtuali configurati con modelli iApp, disabilita Aggiornamenti restrittivi. Nella consolle F5, vai alla cartella Servizi applicazioni iApps e deseleziona la casella di controllo Aggiornamenti restrittivi.
Per la configurazione del server virtuale, non aggiungere Indirizzo/maschera di destinazione. L’automazione non riesce a individuare un indirizzo di destinazione specificato come xxx.xxx.xxx.xxx/0. L’indirizzo apparirà come 0.0.0.0. Tali IP non possono essere automatizzati.
Per le configurazione HA (high-availability), l’utility
addagentless
deve essere eseguita solo una volta. Inserisci l’IP mobile o l’IP gestione di uno dei bilanciamenti del carico. Il sensore rileverà automaticamente la configurazione peer HA.
Amazon Web Services (AWS)
L’automazione basata su sensore DigiCert supporta Applicazione AWS/Bilanciamento del carico di rete (ALB/NLB) e AWS CloudFront. Nota che:
I certificati appena automatizzati verranno memorizzati in Gestione certificati AWS (AWS Certificate Manager, ACM) indipendentemente dal certificato originale memorizzato AWS Identity e Access Management (IAM).
Automatizzando una distribuzione senza certificati, AWS raccomanda di modificare le impostazioni di distribuzione su:
Da
SSLSupportMethod
asni-only
Da
MinimumProtocolVersion
aTLSv12_2019
Avviso
Gli utenti con accesso limitato necessitano delle autorizzazioni per le politiche elencate.
Per AWS ALB/NLB:
Per AWS CloudFront:
Per aggiungere un bilanciamento del carico AWS ALB/NLB per l’automazione basata su sensore, esegui l’utility addagentless
con l’argomento -type AWS
sul sistema sensore.
Per aggiungere una distribuzione AWS CloudFront per l’automazione basata su sensore, esegui l’utility addagentless
con l’argomento -type AWS-CLOUDFRONT
sul sistema sensore.
Durante la configurazione, ti viene chiesto di selezionare uno dei seguenti metodi di login AWS:
Usa la catena predefinita di fornitori di credenziali AWS
Fornisci tu stesso le credenziali
Usa un nome profilo AWS
Di seguito sono riportati degli esempi di configurazione interattiva di aggiunta di un bilanciamento del carico AWS ALB o NLB ad un sensore, selezionando questi 3 metodi di login diversi (usa le schede in alto per visualizzarli tutti). Ulteriori dettagli sulle credenziali AWS seguono questi esempi.
Credenziali AWS: catena fornitori
Quando aggiungi un bilanciamento del carico AWS per l’automazione basata su sensore, hai la possibilità di usare una catena fornitori di credenziali AWS per il login. Con questo metodo, le credenziali di login saranno cercate nella seguente sequenza durante un evento di automazione:
Variabili ambiente –
AWS_ACCESS_KEY_ID
eAWS_SECRET_ACCESS_KEY
.Nota: nei casi seguenti è necessario riavviare il sensore:
Se vengono aggiunte variabili di ambiente mentre il sensore è già installato e in esecuzione.
Se le variabili di ambiente vengono aggiornate o modificate mentre il sensore è in esecuzione.
File di profili credenziali nella posizione predefinita (
~/.aws/credentials
) condiviso da tutti gli AWS SDK e AWS CLI.Per la riuscita dell’autenticazione, raccomandiamo di:
Aggiunta della variabile ambiente
AWS_CREDENTIAL_PROFILES_FILE
.Impostazione del file credenziali in una posizione a cui hanno accesso sia il sensore sia l’utente.
Ad esempio:
AWS_CREDENTIAL_PROFILES_FILE=path/to/credentials_file
Nota: È necessario riavviare il sensore se viene eseguito un aggiornamento o un cambiamento alle variabili di ambiente quando il sensore è in esecuzione.
Credenziali di profilo istanza fornite mediante il servizio di metadati Amazon EC2.
Perché un’autenticazione di credenziali di istanze abbia successo:
Il sensore deve essere installato sull’istanza EC2.
L’identità e il ruolo di gestione dell’accesso (IAM) devono essere collegati a un’istanza EC2. Per creare e collegare il ruolo IAM a un’istanza, fare riferimento a Crea ruolo IAM e Assegna il ruolo IAM a un’istanza (di seguito).
Il ruolo IAM associato all’istanza deve avere la seguente autorizzazione di policy:
Per AWS ALB/NLB:
Per AWS CloudFront:
Per maggiori dettagli, fai riferimento alla Documentazione AWS.
Crea ruolo IAM
Accedi alla Console di gestione AWS e seleziona il servizio IAM.
Nel menu della barra laterale, seleziona Gestione accessi > Ruoli. Quindi, seleziona Crea ruolo.
Nella pagina Crea ruolo, seleziona il tipo di entità affidabile del Servizio AWS e il caso di utilizzo EC2. Quindi, seleziona Avanti: Autorizzazioni.
Seleziona le policy a cui desideri assegnare il ruolo. Quindi, seleziona Avanti: Tag.
Assegna i tag al ruolo (opzionale) e seleziona Avanti: Rivedi.
Inserisci un nome di ruolo, aggiungi una descrizione (opzionale) e seleziona Crea ruolo.
Assegna il ruolo IAM a un’istanza
Sulla Console di gestione AWS, seleziona il servizio EC2.
Nel menu della barra laterale, seleziona Istanze.
Nella pagina Istanze, seleziona l’istanza. Quindi seleziona Azioni > Impostazioni istanze > Collega/Sostituisci ruolo IAM.
Nella pagina Collega/ Sostituisci ruolo IAM, seleziona il ruolo IAM da collegare alla tua istanza. Quindi, seleziona Applica.
Importante
Fornisci le credenziali in almeno una di queste posizioni perché il sensore si colleghi a AWS.
Credenziali AWS: nome profilo
Per usare il nome profilo AWS per le tue credenziali di login, imposta il profilo con coppie chiave-valore. Lo puoi fare nel file di profili credenziali AWS nella posizione predefinita (~/.aws/credentials
) condivisa da tutti gli AWS SDK e AWS CLI.
Per la riuscita dell’autenticazione, raccomandiamo di:
Aggiunta della variabile ambiente
AWS_CREDENTIAL_PROFILES_FILE
.Impostazione del file credenziali in una posizione a cui hanno accesso sia il sensore sia l’utente.
Ad esempio: AWS_CREDENTIAL_PROFILES_FILE=path/to/credentials_file
[default] aws_access_key_id = YOUR_ACCESS_KEY_ID aws_secret_access_key = YOUR_SECRET_ACCESS_KEY [profile1] aws_access_key_id = YOUR_ACCESS_KEY_ID aws_secret_access_key = YOUR_SECRET_ACCESS_KEY [profile2] aws_access_key_id = YOUR_ACCESS_KEY_ID aws_secret_access_key = YOUR_SECRET_ACCESS_KEY [profile3] aws_access_key_id = YOUR_ACCESS_KEY_ID aws_secret_access_key = YOUR_SECRET_ACCESS_KEY
Sei stai lavorando con diversi account AWS, puoi facilmente passare tra un account e l’altro creando profili multipli (set di credenziali) nel tuo file di credenziali.
Ogni sezione (ad esempio, [default], [profile1], [profile2]), rappresenta un profilo credenziali separato. La parola chiave in parentesi quadrate è il tuo nome profilo.
Importante
Se non specifichi il nome profilo AWS come login, sarà utilizzato l’ID account AWS come tua credenziale di login.