Skip to main content

Implementatie-opties

Beheerde automatisering

Beheerde automatisering is de kant-en-klare automatiseringsoplossing van DigiCert. De oplossing is uitermate schaalbaar en bijzonder eenvoudig in te stellen en te onderhouden.

Voor beheerde automatisering zijn er twee belangrijke implementatiescenario's die u dient te overwegen, gebaseerd op waar de TLS-certificaten zich bevinden:

  • Standaard hosts, zoals webservers

    Om certificaatbeheer op een standaard host te automatiseren, installeert u er een vederlicht stukje software op, een "ACME-agent". De ACME-agent gebruikt het ACME-protocol (industriestandaard) om de certificaten op elke host te beheren.

  • Netwerkapparatuur, zoals load balancers

    Het is niet mogelijk om de ACME-agentsoftware te installeren op een propriëtair netwerkapparaat. In plaats daarvan zult u een ander stuk software, een "sensor" genaamd, moeten installeren op een ander systeem in uw netwerk. De sensor gebruikt API-oproepen om op afstand de certificaten op een of meer netwerkapparaten te beheren.

Let op

Een complete automatiseringsimplementatie omvat meestal een mix van veel verschillende hosts en netwerkappliances. De ACME-agentsoftware moet op elke individuele host zijn geïnstalleerd, maar u kunt meerdere netwerkapparaten beheren vanuit één enkele sensorinstallatie.

managed_automation_deployment.png

Beheerde automatisering voor standaard hosts (gebaseerd op ACME-agent)

Het automatiseren van certificaten op standaard hosts vereist dat u op elk van de hosts de ACME-agentsoftware installeert.

De agent is de systeemeigen client voor host-automatisering van DigiCert, die het industriestandaard ACME-protocol omvat plus beheerfuncties op hoog niveau. De agent ondersteunt certificaatautomatiseringen voor webservers, waaronder Microsoft IIS, Apache HTTP Server, Apache Tomcat, Nginx en IBM HTTP Server.

U downloadt de agentsoftware van CertCentral. Deze software is zo ontworpen dat ze veilig en lichtgewicht is en de systeem- of netwerkprestaties niet beïnvloedt. Zodra de ACME-agent is geïnstalleerd, houdt ze zichzelf up to date, zodat er geen doorlopend onderhoud nodig is.

Elke ACME-agent gebruikt een "pull"-communicatiemodel om via een beveiligde verbinding met de DigiCert-cloud te synchroniseren. Het is niet nodig om het netwerk te configureren of wijzigingen aan te brengen aan de firewall. De netwerkintegriteit blijft intact.

Opmerking

Voor hosts die via een proxyserver verbinding met het internet moeten maken, heeft u de mogelijkheid om een DigiCert-sensor als proxy te gebruiken. Het gebruik van een sensor als proxy biedt extra fouttolerantieopties voor uw certificaatautomatiseringen.

Beheerde automatisering voor netwerkapparaten (sensor-gebaseerd)

Omdat het niet mogelijk is de ACME-agentsoftware op propriëtaire netwerkapparatuur te installeren, zult u u in plaats daarvan de netwerkgebaseerde sensorsoftware moeten gebruiken.

De sensor is DigiCert's systeemeigen automatiseringsclient voor het beheer van TLS-certificaten op propriëtaire netwerkapparatuur zoals load balancers. De sensor ondersteunt certificaatautomatiseringen voor speciale load balancers (zoals F5 BIG-IP LTM, Citrix NetScaler en A10) en cloudgebaseerde loadbalancerservices (zoals Amazon ELB en CloudFront). Een sensor kan ook fungeren als een proxy voor ACME-agenten door ze failover-services voor automatisering te leveren.

U downloadt de sensorsoftware van CertCentral. De configuratie van de sensor hangt af van de typen netwerkapparaten die de sensor beheert en of deze proxy/failover-services levert. Zodra de sensor is geïnstalleerd, houdt ze zichzelf up to date, zodat er geen doorlopend onderhoud vereist is.

Eén enkele sensor kan voor veel verschillende systemen automatiseringen beheren en proxy-services verlenen. Dit kan een mix van hardware en cloudgebaseerde load balancers omvatten, plus eventuele lokale hosts waar de sensor als proxy fungeert. De sensor moet worden geïnstalleerd op een speciale host op het netwerk die met al deze systemen kan communiceren.

Net als de DigiCert-agent is de sensorsoftware ontworpen om een veilige en naadloze werking te bieden en de netwerkprestaties of -integriteit niet te beïnvloeden.

Opmerking

Dezelfde sensor- en agentsoftware die door de CertCentral-automatiseringsservice wordt gebruikt, wordt ook door de Discovery-service gebruikt. Als u al sensoren of agenten hebt geïnstalleerd voor Discovery, kunt u deze ook gebruiken voor automatisering, en vice versa.

Sensor-gebaseerde automatiseringen worden ook "agentloos" of "op afstand" genoemd omdat ze geen lokaal geïnstalleerde agent op elk systeem vereisen.

Automatisering met ACME-clients van derden

De CertCentral-automatiseringsservice ondersteunt ook het gebruik van ACME- clients van derden, zoals EFF certbot en Kubernetes cert-manager. In dit geval gebruikt u de ACME-client van een derde partij in plaats van de eigen ACME- agent van DigiCert.

Voor ACME-clients van derden moet u de software buiten CertCentral downloaden en afzonderlijk installeren op elke host waarop certificaatautomatiseringen worden uitgevoerd. De geïnstalleerde ACME-clients moeten worden geconfigureerd op basis van hun eigen unieke implementatievereisten en moeten toegang kunnen krijgen tot de DigiCert-cloud.

Dit zijn mogelijke beperkingen waarmee rekening moet worden gehouden wanneer ACME-clients van derden worden gebruikt met de CertCentral-automatiseringsservice:

  • Geen ondersteuning voor propriëtaire netwerkapparatuur zoals load balancers.

  • Geen geautomatiseerde software-updates. Elke client moet handmatig worden onderhouden.

  • Geen gecentraliseerde beheerfuncties. Automatiseringsacties moeten lokaal op elke client worden gestart.

  • Kan aanvullende netwerk- en firewallwijzigingen vereisen.

Vanwege de bovenstaande beperkingen raadt DigiCert het gebruik van ACME-clients van derden alleen aan voor kleinere automatiseringsimplementaties of voor clients zoals Kubernetes cert-manager die van zichzelf automatiseringen met een hoog volume vanuit een gecentraliseerde locatie ondersteunen.

Automatisering via API-oproepen

De laatste manier om een automatisering te implementeren is via de DigiCert API-bibliotheek. Er zijn API-oproepen voor de verschillende beheerde automatiseringsfuncties, zoals het certificaat-acties INSCHRIJVEN en VERLENGEN . Met de API kunt u deze automatiseringsacties rechtstreeks vanuit aangepaste webtoepassingen integreren en activeren.

Voor de API voor de automatiseringsservice moeten de DigiCert-agents en -sensoren reeds geïnstalleerd en geconfigureerd zijn op de relevante systemen. De API initieert de automatiseringsacties, maar het eigenlijke werk van het downloaden en installeren van de certificaten wordt nog altijd uitgevoerd door de beheerde automatiseringsclients.

In deze sectie: