Skip to main content

Quick start: Deploy a DigiCert agent — Linux

Introduction

This guide covers the basic steps needed to install and activate the DigiCert​​®​​ agent software on a Linux system.

The agent is DigiCert’s native client for discovering and managing certificates on servers. You need to install an agent on each server system to use the following features in DigiCert​​®​​ Trust Lifecycle Manager:

  • System-based discovery scans: Scan both OS certificate stores and the local file system for end-entity certificates.

  • Certificate management: Manage certificates for common web servers and custom applications.

  • Certificate delivery: Deliver certificates using the Admin web request feature, including custom post-script support.

Agents use a pull communication model to synchronize with Trust Lifecycle Manager over outbound port 443 (HTTPS). They do not require inbound access. Each agent can keep itself updated as new software versions get released to reduce the need for ongoing maintenance.

Before you begin

Before installing the Linux version of the agent, verify the following

System requirements

Your environment must have at least a minimal installation of a supported operating system.

Server type

Supported OS version

Minimum specifications

Linux

  • Red Hat Enterprise Linux 7.x

  • Red Hat Enterprise Linux 8.x

  • Red Hat Enterprise Linux 9.x

  • Red Hat Enterprise Linux 10.x

  • Ubuntu 20.04 or later

  • 64-bit OS version and US locale required

  • 2 GB RAM (4 GB recommended)

  • 2 GB free disk space (minimum)

  • CLI utilities awkgrepsed, lsof, and dos2unix installed

  • Root privileges

Network requirements

To connect to Trust Lifecycle Manager, the agent requires outbound access to HTTPS (TCP port 443) on the two DigiCert® ONE platform URLs in one of the following regions.

In addition to platform access, the agent requires outbound access to HTTPS (TCP port 443) on the following automation and discovery service URLs.

Loopback ports

The agent binds to the following loopback ports on the local host. To adjust the loopback port numbers for an installed agent, edit the applicable configuration file/parameter in the agent conf sub-directory and restart the agent service.

Loopback ports

Description

Agent conf file

Configuration parameter

58080

Local communications port for the plugin manager process used to manage certificate delivery events for Trust Lifecycle Manager.

config.toml

ControlPort

61613

Local communications port for Simple (or Streaming) Text Oriented Messaging Protocol (STOMP). Used for message queuing between the main agent process and the plugin manager process.

config.toml

StompPort

注記

Loopback ports do not require any access rules on the local firewall.

Deployment workflow

To deploy the DigiCert agent software on a Linux system, complete these tasks:

エージェントソフトウェアをダウンロードする

Linux 版エージェントソフトウェアをダウンロードして Trust Lifecycle Manager でアクティベーションキーを生成するには、以下の手順に従います。

  1. Trust Lifecycle Manager メインメニューから、[Discovery & automation tools > Client tools]を選択します。

  2. [エージェント - Linux インストーラ]を選択します。

  3. 右側にあるダウンロードボタンを使用して LInux 版 DigiCert エージェントインストーラの最新バージョンをダウンロードします。インストーラは tlm_agent_N.N.N_linux64.tar.gz といった名前になっているはずです。ここで、「N.N.N」はエージェントのバージョン番号です。

  4. アクティベーションコードを取得するには、[Requirements]の下にある[アクティベーションコードの生成]ボタンを選択します。開かれたポップアップダイアログで、次の操作を実行します。

    1. (任意)エージェントを割り当てる事業部門を選択します。ここで選択した場合、その事業部門に管理者として割り当てられたユーザーだけがエージェントを管理できるようになります。

    2. (任意)[コードの共有]で、アクティベーションコードを電子メールで受け取るユーザーを選択します。たとえば、エージェントソフトウェアをインストールする管理者を選択します。

    3. [コードの生成]ボタンを選択します。コードをコピーします。このコードを使用してエージェントをインストールすることも、インストールを実行するユーザーにコードを提供することもできます。

    注記

    アクティベーションコードは 30 分間有効で、1 回だけ使用できます。有効期限が切れた場合は、プロセスを繰り返して新しいコードを生成します。

エージェントをインストールおよびアクティブ化する

重要

問題を回避するため、デジサートは、エージェントソフトウェアを Linux の /opt ディレクトリにインストールすることを推奨します。エージェントを /tmp ディレクトリまたはユーザーのホームディレクトリにインストールしないでください。

Linux サーバーにエージェントソフトウェアをインストールしてアクティブ化するには、以下の手順に従います。

  1. ダウンロードしたインストーラアーカイブを /opt ディレクトリ、または DigiCert エージェントのインストール先とするディレクトリにコピーします。

  2. インストーラアーカイブを解凍します(例: tar -xzvf <agent-file>.tar.gz)。これにより、tlm_agent_N.N.N_linux64 といった名前のエージェントインストールディレクトリが作成されます。ここで、「N.N.N」はエージェントのバージョン番号です。

  3. エージェントインストールディレクトリに移動し、start-tlm-agent.sh をルートとして実行します(例: sudo ./start-tlm-agent.sh)。指示に従ってエージェントをインストールしてアクティブ化します。

  4. 入力を求められたら、生成したアクティベーションコードを入力します。

  5. 選択を求められたら、エージェントが Trust Lifecycle Manager に接続する方法を選択します。

    • [Direct, no proxy]: エージェントが直接接続する場合に選択します。

    • [My own proxy server]: サードパーティのプロキシサーバー経由で接続する場合に選択します。プロキシサーバーの詳細の入力を求められます。

    • [DigiCert sensor as proxy]: DigiCert センサーをプロキシサーバーとして使用する場合に選択します。センサーの詳細の入力を求められます。

  6. (任意)Trust Lifecycle Manager で識別しやすくなるように、エージェントにカスタム名を割り当てます。

Step 3: Verify the agent deployment

Return to the Trust Lifecycle Manager web console to verify that the installed agent is ready for use:

  1. From the Trust Lifecycle Manager menu, select Discovery & automation tools > Agents.

  2. You should see the agent you installed listed in the table.

    The Status column lists the current status of the agent. An agent that's installed and ready to use should show Active.

注記

If your agent does not appear in the table or does not show the Active status, refer to Troubleshoot agents for troubleshooting help.

What's next

With an active DigiCert agent installed on a server in your network, you can use Trust Lifecycle Manager to:

  • Set up system scans to scan both OS certificate stores and the local file system for certificate files. Certificates found during these scans added to the certificate inventory for continuous monitoring and tracking.

  • Enable certificate lifecycle automation on the host systems.

  • Enroll certificates from different issuing CAs with automated delivery to external systems.

  • Customize certificate processing on your servers using agent scripts.

Learn more

このセクションの内容: