Skip to main content

デプロイメントオプション

マネージド自動化

マネージド自動化は、デジサートのターンキー自動化ソリューションです。最高レベルの拡張性を備え、セットアップと維持も極めて簡単です。

マネージド自動化には、TLS証明書が使用される場所に基づいて検討できる2つのデプロイメントシナリオがあります。

  • ウェブサーバなどの標準的なホスト

    標準的なホストでの証明書管理を自動化するには、ホストに「ACMEエージェント」と呼ばれる軽量なソフトウェアをインストールします。ACMEエージェントは、各ホスト上の証明書の管理に業界標準のACMEプロトコルを使用します。

  • ロードバランサーなどのネットワークアプライアンス

    ACMEエージェントソフトウェアを専用ネットワークアプライアンスにインストールすることはできません。その代わりに、「センサー」と呼ばれる異なるソフトウェアをネットワーク上の別のシステムにインストールする必要があります。センサーは、1つ、または複数のネットワークアプライアンス上の証明書をリモートで管理するためにAPIコールを使用します。

注記

通常、完全な自動化デプロイメントにはさまざまなホストとネットワークアプライアンスの組み合わせが関与します。ACMEエージェントソフトウェアは個々のホストにインストールする必要がありますが、センサーは単一のインストールで複数のネットワークアプライアンスを管理することができます。

managed_automation_deployment.png

標準的なホスト向けのマネージド自動化(ACMEエージェントベース)

標準的なホストでの証明書の自動化には、各ホストにACMEエージェントソフトウェアをインストールすることが必要になります。

このエージェントはデジサートのネイティブホスト自動化クライアントで、業界標準のACMEプロトコルと、高度な管理機能が含まれています。Microsoft IIS、Apache HTTPサーバー、Apache Tomcat、Nginx、およびIBM HTTP サーバーなどのウェブサーバ向けの証明書自動化をサポートします。

エージェントソフトウェアはCertCentralからダウンロードします。このソフトウェアはセキュアかつ軽量であるように設計されており、システムまたはネットワークのパフォーマンスに影響しません。インストールが完了したら、ACMEエージェントは独自に最新性を維持するので、継続的な管理は必要ありません。

各ACMEエージェントは、セキュア化されたリンクを通じたDigiCert Cloudとの同期に「プル」通信モデルを使用します。ネットワーク設定やファイアウォールを変更する必要ありません。ネットワークの完全性はそのまま維持されます。

注記

インターネットへの接続にプロキシサーバーを経由する必要があるホストについては、デジサートのセンサーをプロキシとして使用するオプションがあります。センサーのプロキシとしての使用は、証明書自動化に追加のフォールトトレランスオプションを提供します。

ネットワークアプライアンス向けのマネージド自動化(センサーベース)

専用ネットワークアプライアンスにACMEエージェントソフトウェアをインストールすることは不可能であることから、その代わりにネットワークベースのセンサーソフトウェアを使用する必要があります。

このセンサーは、ロードバランサーなどの専用ネットワークアプライアンスでTLS証明書を管理するためのデジサートのネイティブ自動化クライアントです。これは、専用ロードバランサー(F5 BIG-IP LTM、Citrix NetScaler、A10など)、およびクラウドベースのロードバランサー(Amazon ELBおよびCloudFrontなど)の証明書自動化をサポートします。センサーは、ACMEエージェントのプロキシとして機能させることもでき、エージェントに自動化フェイルオーバーサービスを提供します。

センサーソフトウェアはCertCentralからダウンロードします。センサーの設定は、管理するネットワークアプライアンスのタイプと、プロキシ/フェイルオーバーサービスを提供するかどうかに応じて異なります。インストールが完了したら、センサーは独自に最新性を維持するので、継続的な管理は必要ありません。

単一のセンサーで自動化を管理し、多くの異なるシステムにプロキシサービスを提供することができます。これには、ハードウェアとクラウドベースのロードバランサー、およびセンサーがプロキシとして機能するローカルホストの組み合わせなどがあります。センサーは、これらすべてのシステムと通信することができるネットワーク上の専用ホストにインストールする必要があります。

デジサートのエージェントと同様に、このセンサーソフトウェアはセキュアかつシームレスな操作のために設計されており、ネットワークのパフォーマンスや完全性には影響しません。

注記

Discoveryサービスは、CertCentralの自動化サービスで使用されるものと同じセンサーとエージェントソフトウェアを使用します。Discovery用のセンサーとエージェントがすでにインストールされている場合は、自動化にもそれらを使用できます(その逆も同様です)。

センサーベースの自動化は各システムにローカルにインストールされたエージェントを必要としないため、「エージェントレス」または「リモート」とも呼ばれます。

サードパーティーACMEクライアントでの自動化

CertCentralの自動化サービスは、EFF certbotおよびKubernetes cert-managerなどのサードパーティーACMEクライアントの使用もサポートします。この場合は、デジサートのネイティブACMEエージェントの代わりにサードパーティーACMEクライアントを使用します。

サードパーティーACMEクライアントでは、CertCentral外でソフトウェアをダウンロードし、証明書自動化を実行する各ホストに個別にインストールする必要があります。インストールされたACMEクライアントは、クライアント独自のデプロイメント要件に基づいて設定される必要があるとともに、DigiCert Cloudにアクセスできる必要もあります。

以下は、CertCentral自動化サービスでのサードパーティーACMEクライアントの使用時に考慮する潜在的な制限事項です。

  • ロードバランサーなどの専用ネットワークアプライアンスに対するサポートがない。

  • ソフトウェアが自動的に更新されない。各クライアントを手動で維持する必要がある。

  • 一元化された管理機能がない。自動化アクションは各クライアントでローカルに開始される必要があります。

  • ネットワークおよびファイアウォールを追加変更が必要になる可能性がある。

上記の制限事項のため、サードパーティーACMEクライアントは、小規模な自動化デプロイメント、または一元的な場所からの大規模な自動化をネイティブにサポートするKubernetes cert-managerなどのクライアントのみに使用することをお勧めします。

APIコールを使用した自動化

自動化をデプロイする最後の方法は、DigiCert APIライブラリです。証明書のENROLLおよびRENEWアクションなどのさまざまなマネージド自動化機能のためのAPIコールが提供されています。APIは、これらの自動化アクションをカスタムウェブアプリケーションから直接統合し、トリガーすることを可能にします。

自動化サービスのAPIでは、関連するシステムにデジサートのエージェントとセンサーがすでにインストールされている必要があります。APIは自動化アクションを開始しますが、証明書をダウンロードおよびインストールする実際の作業は引き続きマネージド自動化クライアントが実行します。