센서 구성 예
센서를 설치하고 활성화한 후에는 센서 자체에서 초기 구성을 수행하여 자동화를 위한 네트워크 어플라이언스를 추가해야 합니다. 이 초기 구성은 명령줄에서 대화식으로 수행하거나 텍스트 파일에서 구성 매개 변수를 추가하고 읽는 방식으로 수행할 수 있습니다.
아래 예는 센서 기반 자동화를 위해 다양한 네트워크 어플라이언스 유형을 추가하기 위해 대화식 구성 방법을 사용하는 방법을 보여줍니다.
중요
각 네트워크 어플라이언스의 로그인 암호는 DigiCert 암호 요구 사항을 충족해야만 자동화와 함께 작동합니다. 암호는 소문자, 대문자, 숫자 또는 기호를 포함해야 합니다.
다양한 네트워크 어플라이언스 유형에 허용되는 기호:
A10: !@#$%^()-+_ {}[]~?:./
Citrix NetScaler: ~!@#$%^*()_+-|`{}[]:;?/,."
F5 BIG-IP: ~!@#$%^&*()_+`-={}[]|;:'"<>,./?
A10
센서 기반 자동화를 위한 A10 부하 분산 장치를 추가하려면 센서 시스템에서 -type A10 인수로 addagentless 유틸리티를 실행하십시오.
대화식 구성 세션의 예:
Sensor CLI. Copyright 2020, DigiCert Inc. Add or change login credentials and specify data IP addresses for certificate automation. Enter management IP address:10.141.17.192 Enter Management Port (443):443 If available, do you want to map this sensor with the previously voided loadbalancer (Y/N)?:N Important: Enter an account that has admin (superuser) permission to manage all partitions on the A10 load balancer. Enter admin username:admin Enter admin password: Confirm admin password: Successfully added or changed the agentless. IMPORTANT: After you run this command, return to Manage Automation Agents. Verify that the certificate host appears and is configured.
A10 고가용성
센서 기반 자동화를 위한 A10 고가용성 부하 분산 장치를 추가하려면 센서 시스템에서 -type A10 -ha VRRPA 인수로 addagentless 유틸리티를 실행하십시오.
대화식 구성 세션의 예:
Sensor CLI. Copyright 2021, DigiCert Inc. Add or change login credentials and specify data IP addresses for certificate automation. Enter management IP address:10.141.17.192 Enter Management Port (443):443 Important: Enter an account that has admin (superuser) permission to manage all partitions on the A10 load balancer. Enter admin username:admin Enter admin password: Confirm admin password: Enter SSH enable password: Confirm SSH enable password: For high availability configurations, enter the management IP address and login information for each additional load balancer in the configuration. To finish the list, press Return at the prompt (blank input). Enter management IP address, port, and username (separated by commas):10.141.17.192,443,admin Enter admin password: Confirm admin password: Enter management IP address, port, and username (separated by commas): Successfully added or changed the agentless. IMPORTANT: After you run this command, return to Manage Automation Agents. Verify that the certificate host appears and is configured.
Citrix NetScaler
센서 기반 자동화를 위한 Citrix NetScaler 부하 분산 장치를 추가하려면 센서 시스템에서 -type NETSCALER 인수로 addagentless 유틸리티를 실행하십시오.
대화식 구성 세션의 예:
Sensor CLI. Copyright 2020, DigiCert Inc. Add or change login credentials and specify data IP addresses for certificate automation. Enter the management IP:10.141.17.192 http or https:https Enter management Port (443):443 If available, do you want to map this sensor with the previously voided loadbalancer (Y/N)?:N Enter webservice username:nsroot Enter webservice password: Confirm webservice password: Enter SSH username:nsroot Enter SSH password: Confirm SSH password: Enter SSH port:22 Successfully added or changed the agentless. HA Pair peers are Management IP : 10.141.17.192 (Primary) The sensor may use any of these management IP addresses to perform certificate automation activities. IMPORTANT: After you run this command, return to Manage Automation Agents in console. Verify that the certificate host appears and is configured.
F5 BIG-IP
센서 기반 자동화를 위한 F5 BIG-IP 부하 분산 장치를 추가하려면 센서 시스템에서 -type BIGIP 인수로 addagentless 유틸리티를 실행하십시오.
대화식 구성 세션의 예:
Sensor CLI. Copyright 2020, DigiCert Inc. Add or change login credentials and specify data IP addresses for certificate automation. Enter management IP address:10.141.17.192 Enter Management Port:443 If available, do you want to map this sensor with the previously voided load balancer (Y/N)?:N Enter web service username: admin Enter web service password: Confirm web service password: Successfully added or changed the agentless automation. This applies to the following HA Pair peers : Management IP: 10.141.17.192 (ACTIVE) Starting agentless configuration for this host. Go to Automated IPs in CertCentral to finish configuring host details and set up automation.
F5 BIG-IP 부하 분산 장치를 추가하면 센서가 자동화 가능한 IP/포트에서 자동으로 정보를 수집합니다.
성공적인 자동화를 위한 유의사항:
가상 IP를 구성할 때 지원하는 네트워크 프로토콜만 선택하십시오. 참고: UDP 프로토콜은 자동화를 지원하지 않습니다. UDP 프로토콜을 사용하여 구성은 가상 IP는 필터링하며 검색될 수 없습니다.
성공적으로 자동화하려면 iApp 템플릿으로 구성한 가상 서버에 대해 엄격한 업데이트를 사용 중지하십시오. F5 콘솔에서는 iApps Application Services 폴더로 이동하여 엄격한 업데이트 확인란을 해제합니다.
가상 서버 구성에 대해 목적지 주소/마스크를 추가하지 마십시오. 자동화는 xxx.xxx.xxx.xxx/0 형식으로 지정한 목적지 주소를 식별할 수 없습니다. 주소는 0.0.0.0으로 나타납니다. 이런 IP는 자동화할 수 없습니다.
고가용성(HA) 구성의 경우
addagentless유틸리티는 한 번만 실행하면 됩니다. 유동 IP 또는 부하 분산 장치 중 한 개의 관리 IP를 입력합니다. 센서는 HA 피어 구성을 자동으로 감지합니다.
Amazon Web Services (AWS)
DigiCert 센서 기반 자동화는 AWS Application/Network Load Balancer (ALB/NLB) 및 AWS CloudFront를 지원합니다. 유의 사항:
새로 자동화된 인증서는 AWS IAM(Identity and Access Manager)에 저장된 원본 인증서와 독립적으로 ACM(AWS Certificate Manager)에 저장됩니다.
인증서가 없이 배포를 자동화할 때 AWS는 다음과 같이 배포 설정을 수정할 것을 권장합니다.
SSLSupportMethod=>sni-onlyMinimumProtocolVersion=>TLSv12_2019
참고
제한된 액세스가 있는 사용자는 목록의 정책에 대한 사용 권한이 필요합니다.
AWS ALB/NLB의 경우:
AWS CloudFront의 경우:
센서 기반 자동화를 위한 AWS ALB/NLB 부하 분산 장치를 추가하려면 센서 시스템에서 -type AWS 인수로 addagentless 유틸리티를 실행하십시오.
센서 기반 자동화를 위해 AWS CloudFront 배포를 추가하려면 센서 시스템에서 -type AWS-CLOUDFRONT 인수로 addagentless 유틸리티를 실행하십시오.
구성하는 동안 아래의 AWS 로그인 방법 중 하나를 선택하라는 메시지가 표시됩니다.
기본값 AWS 자격 증명 공급자 체인 사용
직접 자격 증명 제공
AWS 프로필 이름 사용
다음은 AWS ALB 또는 NLB 부하 분산 장치를 센서에 추가하고 이 3가지 로그인 방법을 선택하는 대화식 구성 예입니다 (각각을 보려면 상단의 탭 사용). AWS 자격 증명에 대한 추가 세부 정보는 다음 예를 따릅니다.
AWS 자격 증명: 공급자 체인
센서 기반 자동화를 위해 AWS 부하 분산 장치를 추가할 때 로그인에 AWS 자격 증명 공급자 체인을 사용하는 옵션이 있습니다. 이 방법을 통해 자동화 이벤트 중에 다음 순서로 로그인 자격 증명을 찾습니다.
환경 변수 –
AWS_ACCESS_KEY_ID및AWS_SECRET_ACCESS_KEY.참고: 센서를 다시 시작해야 합니다:
센서가 이미 설치되어 실행 중일 때 환경 변수를 추가하는 경우
센서를 실행 중일 때 환경 변수가 업데이트 또는 변경되는 경우
모든 AWS SDK 및 AWS CLI에서 공유한 기본값 위치(
~/.aws/credentials)에 자격 증명 프로필 파일인증에 성공하려면 다음을 권장합니다.
AWS_CREDENTIAL_PROFILES_FILE환경 변수를 추가자격 증명 파일을 센서와 사용자 모두가 액세스할 수 있는 위치에 설정
예:
AWS_CREDENTIAL_PROFILES_FILE=path/to/credentials_file참고: 센서를 실행하는 동안 환경 변수를 업데이트 또는 변경하는 경우 센서를 다시 시작해야 합니다.
Amazon EC2 메타데이터 서비스를 통하여 제공한 인스턴스 프로필 자격 증명
인스턴스 자격 증명 인증에 성공하려면
센서는 EC2 인스턴스에 설치되어 있어야 합니다.
IAM(Identity and Access Management) 역할은 EC2 인스턴스에 연결되어 있어야 합니다. IAM 역할을 만들어서 인스턴스에 연결하려면 IAM 역할 만들기 및 IAM 역할을 인스턴스에 할당을 참조하십시오.
인스턴스에 연결된 IAM 역할은 다음 정책 권한 부여가 있어야 합니다.
AWS ALB/NLB의 경우:
AWS CloudFront의 경우:
자세한 정보는 AWS 설명서를 참조하십시오.
IAM 역할 만들기
AWS 관리 콘솔에 로그인하여 IAM 서비스를 선택합니다.
사이드바 메뉴에서 액세스 관리 > 역할을 선택합니다. 그 다음, 역할 만들기를 선택합니다.
역할 만들기 페이지에서, AWS 서비스 신뢰 엔터티 유형을 및 EC2 사용 사례를 선택합니다. 다음: 권한을 선택합니다.
역할에 할당하려는 정책을 선택합니다. 다음: 태그를 선택합니다.
태그를 역할(선택 사항)에 할당하고 다음: 검토를 선택합니다.
역할 이름을 입력하고 설명(선택 사항)을 추가하고 역할 만들기를 선택합니다.
IAM 역할을 인스턴스에 할당
AWS 관리 콘솔에서 EC2 서비스를 선택합니다.
사이드바 메뉴에서 인스턴스를 선택합니다.
인스턴스 페이지에서 인스턴스를 선택합니다. 그 다음, 작업 > 인스턴스 설정 > IAM 역할 첨부/교체를 선택합니다.
IAM 역할 첨부/교체 페이지에서 인스턴스에 첨부할 IAM 역할을 선택합니다. 그런 다음 적용을 선택합니다.
중요
센서가 AWS에 연결하는 최소 한 개의 위치에 자격 증명을 제공합니다.
AWS 자격 증명: 프로필 이름
로그인 자격 증명을 위해 AWS 프로필 이름을 사용하려면 키-값 쌍의 프로필을 설정합니다. 기본값 위치(~/.aws/credentials)에 있는 AWS 자격 증명 프로필 파일에서 설정할 수 있으며 모든 AWS SDK 및 AWS CLI에서 공유합니다.
인증에 성공하려면 다음을 권장합니다.
AWS_CREDENTIAL_PROFILES_FILE환경 변수를 추가자격 증명 파일을 센서와 사용자 모두가 액세스할 수 있는 위치에 설정
예: AWS_CREDENTIAL_PROFILES_FILE=path/to/credentials_file
[default] aws_access_key_id = YOUR_ACCESS_KEY_ID aws_secret_access_key = YOUR_SECRET_ACCESS_KEY [profile1] aws_access_key_id = YOUR_ACCESS_KEY_ID aws_secret_access_key = YOUR_SECRET_ACCESS_KEY [profile2] aws_access_key_id = YOUR_ACCESS_KEY_ID aws_secret_access_key = YOUR_SECRET_ACCESS_KEY [profile3] aws_access_key_id = YOUR_ACCESS_KEY_ID aws_secret_access_key = YOUR_SECRET_ACCESS_KEY
여러 AWS 계정을 사용하여 작업하는 경우 자격 증명 파일에 여러 프로필(자격 증명의 집합)을 만들어서 계정 사이에 쉽게 전환할 수 있습니다.
각 섹션(예: [default], [profile1], [profile2] 등)은 별도의 자격 증명 프로필을 나타냅니다. 대괄호에 키워드는 프로필 이름입니다.
중요
AWS 프로필 이름을 로그인 이름으로 지정하지 않는 경우 AWS 계정 ID를 로그인 자격 증명으로 사용할 것입니다.