배포 옵션
관리형 자동화
관리형 자동화는 DigiCert의 턴키 자동화 솔루션입니다. 확장성이 가장 우수하고 설정 및 유지 관리가 가장 쉽습니다.
TLS 인증서가 있는 위치에 따라 관리형 자동화에 대해 고려해야 할 두 가지 주요 배포 시나리오가 있습니다.
표준 호스트에서 인증서 관리를 자동화하려면 "ACME 에이전트"라는 경량 소프트웨어를 호스트에 설치합니다. ACME 에이전트는 업계 표준 ACME 프로토콜을 사용하여 각 호스트의 인증서를 관리합니다.
전용 네트워크 어플라이언스에는 ACME 에이전트 소프트웨어를 설치할 수는 없습니다. 대신에 "센서"라고 하는 다른 소프트웨어를 네트워크의 다른 시스템에 설치해야 합니다. 이 센서가 API 호출을 사용하여 하나 이상의 네트워크 어플라이언스에서 인증서를 원격으로 관리합니다.
참고
완전한 자동화 배포에는 일반적으로 다양한 호스트와 네트워크 어플라이언스가 혼합되어 있습니다. 각 개별 호스트에는 ACME 에이전트 소프트웨어가 설치되어 있어야 하지만 단일 센서 설치를 통해 여러 네트워크 어플라이언스를 관리할 수 있습니다.
표준 호스트를 위한 관리형 자동화(ACME 에이전트 기반)
표준 호스트에서 인증서를 자동화하려면 각 호스트에 ACME 에이전트 소프트웨어를 설치해야 합니다.
에이전트는 업계 표준 ACME 프로토콜과 고급 관리 기능이 포함된 DigiCert의 기본 호스트 자동화 클라이언트입니다. 이는 Microsoft IIS, Apache HTTP Server, Apache Tomcat, Nginx 및 IBM HTTP Server 등의 웹 서버에 대해 인증서 자동화를 지원합니다.
CertCentral에서 에이전트 소프트웨어를 다운로드합니다. 이 소프트웨어는 시스템이나 네트워크 성능에 영향을 주지 않도록 안전하고 가볍게 설계되었습니다. ACME 에이전트는 일단 설치되면 자체적으로 최신 상태를 유지하므로 지속적인 유지 관리가 필요하지 않습니다.
각 ACME 에이전트는 "풀(pull)" 통신 모델을 사용하여 보안 링크를 통해 DigiCert 클라우드와 동기화합니다. 네트워크 구성이나 방화벽 변경이 필요하지 않습니다. 네트워크 무결성은 그대로 유지됩니다.
참고
인터넷에 연결하기 위해 프록시 서버를 거쳐야 하는 호스트의 경우 DigiCert 센서를 프록시로 사용하는 옵션이 있습니다. 센서를 프록시로 사용하면 인증서 자동화를 위한 추가 내결함성 옵션이 제공됩니다.
네트워크 어플라이언스를 위한 관리형 자동화(센서 기반)
전용 네트워크 어플라이언스에는 ACME 에이전트 소프트웨어를 설치할 수 없으므로, 대신에 네트워크 기반 센서 소프트웨어를 사용해야 합니다.
센서는 부하 분산 장치와 같은 독점 네트워크 어플라이언스에서 TLS 인증서를 관리하기 위한 DigiCert의 기본 자동화 클라이언트입니다. 전용 부하 분산 장치(예: F5 BIG-IP LTM, Citrix NetScaler, A10)와 클라우드 기반 부하 분산 장치 서비스(예: Amazon ELB 및 CloudFront)에 대한 인증서 자동화를 지원합니다. 센서는 ACME 에이전트에 대한 프록시 역할을 하여 자동화 장애 조치 서비스를 제공할 수도 있습니다.
CertCentral에서 센서 소프트웨어를 다운로드합니다. 센서의 구성은 센서가 관리하는 네트워크 어플라이언스의 유형과 프록시/장애 조치 서비스를 제공하는지 여부에 따라 다릅니다. 센서는 일단 설치되면 자체적으로 최신 상태를 유지하므로 지속적인 유지 관리가 필요하지 않습니다.
단일 센서는 자동화를 관리하고 다양한 시스템에 프록시 서비스를 제공할 수 있습니다. 여기에는 하드웨어와 클라우드 기반 부하 분산 장치의 혼합 그리고 프록시 역할을 하는 모든 로컬 호스트가 포함될 수 있습니다. 센서는 이러한 모든 시스템과 통신할 수 있는 네트워크의 전용 호스트에 설치해야 합니다.
DigiCert 에이전트와 마찬가지로 센서 소프트웨어는 네트워크 성능이나 무결성에 영향을 주지 않으면서 안전하고 원활하게 작동하도록 설계되었습니다.
참고
CertCentral 자동화 서비스에서 사용하는 것과 동일한 센서 및 에이전트 소프트웨어가 검색 서비스에서도 사용됩니다. 검색을 위해 이미 설치된 센서 또는 에이전트가 있는 경우 자동화에도 사용할 수 있으며 그 반대의 경우도 마찬가지입니다.
센서 기반 자동화는 각 시스템에 로컬로 설치된 에이전트가 필요하지 않기 때문에 "에이전트 없는" 또는 "원격" 자동화라고도 합니다.
타사 ACME 클라이언트 사용한 자동화
CertCentral 자동화 서비스는 EFF certbot 및 Kubernetes cert-manager와 같은 타사 ACME 클라이언트의 사용도 지원합니다. 이 경우 DigiCert의 기본 ACME 에이전트 대신 타사 ACME 클라이언트를 사용합니다.
타사 ACME 클라이언트의 경우 CertCentral 외부에서 소프트웨어를 다운로드하여 인증서 자동화를 실행할 각 호스트에 별도로 설치해야 합니다. 설치된 ACME 클라이언트는 고유한 배포 요구 사항에 따라 구성해야 하며 DigiCert 클라우드에 액세스할 수 있어야 합니다.
다음은 CertCentral 자동화 서비스와 함께 타사 ACME 클라이언트를 사용할 때 고려해야 할 잠재적 제한 사항입니다.
부하 분산 장치와 같은 전용 네트워크 어플라이언스에 대한 지원 부족.
자동화된 소프트웨어 업데이트 부족. 각 클라이언트를 수동으로 유지 관리해야 함.
중앙 집중식 관리 기능이 부족. 자동화 작업을 각 클라이언트에서 로컬로 시작해야 함.
추가 네트워크 및 방화벽 변경이 필요할 수 있음.
위의 제한 사항으로 인해 DigiCert는 소규모 자동화 배포 또는 중앙 집중 위치에서 대용량 자동화를 기본적으로 지원하는 Kubernetes cert-manager와 같은 클라이언트의 경우에만 타사 ACME 클라이언트의 사용을 권장합니다.
API 호출을 통한 자동화
자동화 배포의 마지막 방법은 DigiCert API 라이브러리를 사용하는 것입니다. 인증서 등록 및 갱신 작업과 같은 다양한 관리형 자동화 기능에 대한 API 호출이 제공됩니다. API를 사용하면 사용자 지정 웹 애플리케이션에서 직접 이러한 자동화 작업을 통합하고 트리거할 수 있습니다.
자동화 서비스 API를 사용하려면 DigiCert 에이전트 및 센서가 관련 시스템에 이미 설치, 구성되어 있어야 합니다. API가 자동화 작업을 시작하는 동안 인증서 다운로드 및 설치의 실제 작업은 여전히 관리형 자동화 클라이언트에서 수행됩니다.