センサーの設定例
センサーをインストールしてアクティブ化したら、センサー自体で初期設定を行って、自動化のためのネットワークアプライアンスを追加する必要があります。この初期設定は、コマンドラインから非アクティブに実行する、またはテキストファイルに設定パラメータを追加して読み込むことで実行できます。
以下の例は、センサーベースの自動化のためにさまざまなネットワークアプライアンスタイプを追加するインタラクティブな設定方法の使用を示しています。
重要
各ネットワークアプライアンスのログインパスワードは、自動化で機能するようにデジサートのパスワード要件を満たす必要があります。パスワードには、小文字と大文字、数字、または記号が含まれている必要があります。
ネットワークアプライアンスの異なるタイプに許可される記号:
A10:!@#$%^()-+_ {}[]~?:./
Citrix NetScaler:~!@#$%^*()_+-|`{}[]:;?/,."
F5 BIG-IP:~!@#$%^&*()_+`-={}[]|;:'"<>,./?
A10
センサーベースの自動化のためにA10ロードバランサーを追加するには、センサーシステムで-type A10引数を使用するaddagentlessユーティリティを実行します。
インタラクティブな設定セッションの例:
Sensor CLI. Copyright 2020, DigiCert Inc. Add or change login credentials and specify data IP addresses for certificate automation. Enter management IP address:10.141.17.192 Enter Management Port (443):443 If available, do you want to map this sensor with the previously voided loadbalancer (Y/N)?:N Important: Enter an account that has admin (superuser) permission to manage all partitions on the A10 load balancer. Enter admin username:admin Enter admin password: Confirm admin password: Successfully added or changed the agentless. IMPORTANT: After you run this command, return to Manage Automation Agents. Verify that the certificate host appears and is configured.
A10 High Availability
センサーベースの自動化のためにA10 High Availabilityロードバランサーを追加するには、センサーシステムで-type A10 -ha VRRPA引数を使用するaddagentlessユーティリティを実行します。
インタラクティブな設定セッションの例:
Sensor CLI. Copyright 2021, DigiCert Inc. Add or change login credentials and specify data IP addresses for certificate automation. Enter management IP address:10.141.17.192 Enter Management Port (443):443 Important: Enter an account that has admin (superuser) permission to manage all partitions on the A10 load balancer. Enter admin username:admin Enter admin password: Confirm admin password: Enter SSH enable password: Confirm SSH enable password: For high availability configurations, enter the management IP address and login information for each additional load balancer in the configuration. To finish the list, press Return at the prompt (blank input). Enter management IP address, port, and username (separated by commas):10.141.17.192,443,admin Enter admin password: Confirm admin password: Enter management IP address, port, and username (separated by commas): Successfully added or changed the agentless. IMPORTANT: After you run this command, return to Manage Automation Agents. Verify that the certificate host appears and is configured.
Citrix NetScaler
センサーベースの自動化のためにCitrix NetScalerロードバランサーを追加するには、センサーシステムで-type NETSCALER引数を使用するaddagentlessユーティリティを実行します。
インタラクティブな設定セッションの例:
Sensor CLI. Copyright 2020, DigiCert Inc. Add or change login credentials and specify data IP addresses for certificate automation. Enter the management IP:10.141.17.192 http or https:https Enter management Port (443):443 If available, do you want to map this sensor with the previously voided loadbalancer (Y/N)?:N Enter webservice username:nsroot Enter webservice password: Confirm webservice password: Enter SSH username:nsroot Enter SSH password: Confirm SSH password: Enter SSH port:22 Successfully added or changed the agentless. HA Pair peers are Management IP : 10.141.17.192 (Primary) The sensor may use any of these management IP addresses to perform certificate automation activities. IMPORTANT: After you run this command, return to Manage Automation Agents in console. Verify that the certificate host appears and is configured.
F5 BIG-IP
センサーベースの自動化のためにF5 BIG-IPロードバランサーを追加するには、センサーシステムで-type BIGIP引数を使用するaddagentlessユーティリティを実行します。
インタラクティブな設定セッションの例:
Sensor CLI. Copyright 2020, DigiCert Inc. Add or change login credentials and specify data IP addresses for certificate automation. Enter management IP address:10.141.17.192 Enter Management Port:443 If available, do you want to map this sensor with the previously voided load balancer (Y/N)?:N Enter web service username: admin Enter web service password: Confirm web service password: Successfully added or changed the agentless automation. This applies to the following HA Pair peers : Management IP: 10.141.17.192 (ACTIVE) Starting agentless configuration for this host. Go to Automated IPs in CertCentral to finish configuring host details and set up automation.
F5 BIG-IPロードバランサーが追加されると、センサーが自動化可能なIP/ポートの情報を自動的に収集します。
正常に自動化するには、以下を行います。
仮想IPの設定時には、サポートされるネットワークプロトコルのみを選択するようにしてください。注意:UDPプロトコルは自動化をサポートしません。UDPプロトコルを使用して設定された仮想IPはフィルタリングされ、検出することができません。
iAppテンプレートで設定された仮想サーバーで自動化を正常に行うには、Strict Updates(設定のロック)を無効にします。F5コンソールでiApps Application Servicesフォルダに移動し、[Strict Updates](設定のロック)チェックボックスのチェックを外します。
仮想サーバー設定の場合は、宛先アドレス/マスクを追加しないでください。自動化は、xxx.xxx.xxx.xxx/0として指定された宛先アドレスを識別できません。このアドレスは0.0.0.0として表示されます。このようなIPは自動化できません。
高可用性(HA)設定の場合、
addagentlessユーティリティは1度しか実行する必要がありません。フローティングIP、またはロードバランサーの1つの管理IPを入力してください。センサーは、HAピア設定を自動的に検出します。
Amazon Web Services(AWS)
デジサートのセンサーベースの自動化は、AWS Application/Network Load Balancer(ALB/NLB)とAWS CloudFrontをサポートします。以下に注意してください。
新しく自動化された証明書は、AWS Identity and Access Management(IAM)に保存されている元の証明書とは別個にAWS Certificate Manager(ACM)に保存されます。
証明書なしで配布を自動化している場合、AWSは配布設定を以下のように変更することを推奨しています。
SSLSupportMethodをsni-onlyに変更MinimumProtocolVersionをTLSv12_2019に変更
注記
限定的なアクセス権を持つユーザーには、リストされているポリシーに対する許可が必要です。
AWS ALB/NLBの場合:
AWS CloudFrontの場合:
センサーベースの自動化のためにAWS ALB/NLBロードバランサーを追加するには、センサーシステムで-type AWS引数を使用するaddagentlessユーティリティを実行します。
センサーベースの自動化のためにAWS CloudFrontディストリビューションを追加するには、センサーシステムで-type AWS-CLOUDFRONT引数を使用するaddagentlessユーティリティを実行します。
設定中、以下のAWSログイン方法の1つを選択するプロンプトが表示されます。
デフォルトのAWS認証情報プロバイダーチェーンを使用する
独自に認証情報を提供する
AWSプロファイル名を使用する
以下は、これら3つの異なるログイン方法を選択して(各方法を表示するにはビュー上部のタブを使用します)、センサーにAWS ALBまたはNLBロードバランサーを追加するインタラクティブな設定の例です。AWS認証情報に関する追加の詳細情報は、これらの例の後に記載されています。
AWS認証情報:プロバイダーチェーン
センサーベースの自動化のためにAWSロードバランサーを追加するときは、ログインにAWS認証情報プロバイダーチェーンを使用するオプションがあります。この方法を使用すると、自動化イベント中、ログイン認証情報が以下の順で探索されます。
環境変数 –
AWS_ACCESS_KEY_IDおよびAWS_SECRET_ACCESS_KEY。注意:以下の場合はセンサーを再起動する必要があります。
センサーがすでにインストールされ、実行されているときに環境変数が追加された場合。
センサーの実行中に環境変数が更新または変更された場合。
すべてのAWS SDKおよびAWS CLIによって共有されるデフォルトの場所(
~/.aws/credentials)にある認証情報プロファイルファイル。認証を正常に行うためには、以下が推奨されます。
AWS_CREDENTIAL_PROFILES_FILE環境変数を追加する。センサーとユーザーの両方がアクセスできる場所に認証情報ファイルを設定する。
例:
AWS_CREDENTIAL_PROFILES_FILE=path/to/credentials_file注意:センサーの実行中に環境変数の更新や変更が行われた場合は、センサーを再起動する必要があります。
Amazon EC2のメタデータサービス経由で配信されるインスタンスプロファイル認証情報。
インスタンス認証情報の認証を正常に行うには、以下が必要です。
センサーがEC2インスタンスにインストールされている。
Identity and Access Management(IAM)ロールがEC2インスタンスにリンクされている。IAMロールを作成してインスタンスにリンクするには、以下の「IAMロールを作成する」と「IAMロールをインスタンスに割り当てる」を参照してください。
インスタンスに関連付けられたIAMのロールには、以下のポリシー許可が必要です。
AWS ALB/NLBの場合:
AWS CloudFrontの場合:
詳細については、AWSドキュメントを参照してください。
IAMロールを作成する
AWSマネジメントコンソールにサインインして、IAMサービスを選択します。
サイドバーメニューで、[アクセス管理]>[ロール]の順に選択しします。次に、[ロールを作成]を選択します。
[ロールを作成]ページの[信頼されたエンティティタイプ]で[AWSのサービス]を選択し、ユースケースに[EC2]を選択します。その後、[次へ: 許可]を選択します。
ロールに割り当てるポリシーを選択します。その後、[次へ: タグ]を選択します。
ロールにタグを割り当てて(オプション)、[次へ: 確認]を選択します。
ロール名を入力し、説明(オプション)を追加して、[ロールを作成]を選択します。
インスタンスにIAMロールを割り当てる
AWSマネジメントコンソールで[EC2]サービスを選択します。
サイドバーメニューで、[インスタンス]を選択します。
[インスタンス]ページで、インスタンスを選択します。次に、[アクション]>[インスタンスの設定]>[IAMロールをアタッチ/置換]を選択します。
[IAMロールのアタッチ/置換]ページで、インスタンスにアタッチするIAMロールを選択します。その後、[適用する]を選択します。
重要
センサーがAWSに接続するには、これらの場所の少なくとも1つで認証情報を提供します。
AWS認証情報:プロファイル名
ログイン認証情報にAWSプロファイル名を使用するには、鍵と値のペアでプロファイルを設定します。これは、すべてのAWS SDKとAWS CLIが共有するデフォルトの場所(~/.aws/credentials)にあるAWS認証情報プロファイルファイルで実行できます。
認証を正常に行うためには、以下が推奨されます。
AWS_CREDENTIAL_PROFILES_FILE環境変数を追加する。センサーとユーザーの両方がアクセスできる場所に認証情報ファイルを設定する。
例:AWS_CREDENTIAL_PROFILES_FILE=path/to/credentials_file
[default] aws_access_key_id = YOUR_ACCESS_KEY_ID aws_secret_access_key = YOUR_SECRET_ACCESS_KEY [profile1] aws_access_key_id = YOUR_ACCESS_KEY_ID aws_secret_access_key = YOUR_SECRET_ACCESS_KEY [profile2] aws_access_key_id = YOUR_ACCESS_KEY_ID aws_secret_access_key = YOUR_SECRET_ACCESS_KEY [profile3] aws_access_key_id = YOUR_ACCESS_KEY_ID aws_secret_access_key = YOUR_SECRET_ACCESS_KEY
複数のAWSアカウントを使用している場合は、資格情報ファイルに複数のプロファイル(資格情報のセット)を作成することで、アカウントを簡単に切り替えることができます。
各セクション(例えば、[default]、[profile1]、[profile2])は、個別の認証情報プロファイルを表します。角括弧内のキーワードがプロファイル名です。
重要
ログインとしてAWSプロファイル名を指定しない場合は、ログイン認証情報としてAWSアカウントIDが使用されます。