Voorbeelden van sensorconfiguraties
Nadat u een sensor hebt geïnstalleerd en geactiveerd, dient u de eerste configuratie op de sensor zelf uit te voeren om de netwerkapparaten toe te voegen voor automatisering. Deze initiële configuratie kan ofwel interactief worden uitgevoerd vanaf de opdrachtregel, ofwel door de configuratieparameters aan een tekstbestand toe te voegen en ze van daaruit in te lezen.
De onderstaande voorbeelden demonstreren het gebruik van de interactieve configuratiemethode voor het toevoegen van verschillende typen netwerkapparaten voor sensorgebaseerde automatisering.
Belangrijk
Het inlogwachtwoord van elk netwerkapparaat moet voldoen aan de DigiCert-wachtwoordvereisten, zodat het met automatisering werkt. Het wachtwoord moet kleine en hoofdletters, cijfers of symbolen bevatten.
Toegestane symbolen voor verschillende soorten netwerkapparaten:
A10: !@#$%^()-+_ {}[]~?:./
Citrix NetScaler: ~!@#$%^*()_+-|`{}[]:;?/,."
F5 BIG-IP: ~!@#$%^&*()_+`-={}[]|;:'"<>,./?
A10
Voer op het sensorsysteem het hulpprogramma addagentless uit met het -type A10-argument om een A10 load balancer toe te voegen voor sensorgebaseerde automatisering.
Voorbeeld van een interactieve configuratiesessie:
Sensor CLI. Copyright 2020, DigiCert Inc. Add or change login credentials and specify data IP addresses for certificate automation. Enter management IP address:10.141.17.192 Enter Management Port (443):443 If available, do you want to map this sensor with the previously voided loadbalancer (Y/N)?:N Important: Enter an account that has admin (superuser) permission to manage all partitions on the A10 load balancer. Enter admin username:admin Enter admin password: Confirm admin password: Successfully added or changed the agentless. IMPORTANT: After you run this command, return to Manage Automation Agents. Verify that the certificate host appears and is configured.
A10 high availability
Voer op het sensorsysteem het hulpprogramma addagentless uit met de -type A10 -ha VRRPA-argumenten om een A10 high availability load balancer toe te voegen voor sensorgebaseerde automatisering.
Voorbeeld van een interactieve configuratiesessie:
Sensor CLI. Copyright 2021, DigiCert Inc. Add or change login credentials and specify data IP addresses for certificate automation. Enter management IP address:10.141.17.192 Enter Management Port (443):443 Important: Enter an account that has admin (superuser) permission to manage all partitions on the A10 load balancer. Enter admin username:admin Enter admin password: Confirm admin password: Enter SSH enable password: Confirm SSH enable password: For high availability configurations, enter the management IP address and login information for each additional load balancer in the configuration. To finish the list, press Return at the prompt (blank input). Enter management IP address, port, and username (separated by commas):10.141.17.192,443,admin Enter admin password: Confirm admin password: Enter management IP address, port, and username (separated by commas): Successfully added or changed the agentless. IMPORTANT: After you run this command, return to Manage Automation Agents. Verify that the certificate host appears and is configured.
Citrix NetScaler
Voer op het sensorsysteem het hulpprogramma addagentless uit met het -type NETSCALER-argument om een Citrix Netscaler load balancer toe te voegen voor sensorgebaseerde automatisering.
Voorbeeld van een interactieve configuratiesessie:
Sensor CLI. Copyright 2020, DigiCert Inc. Add or change login credentials and specify data IP addresses for certificate automation. Enter the management IP:10.141.17.192 http or https:https Enter management Port (443):443 If available, do you want to map this sensor with the previously voided loadbalancer (Y/N)?:N Enter webservice username:nsroot Enter webservice password: Confirm webservice password: Enter SSH username:nsroot Enter SSH password: Confirm SSH password: Enter SSH port:22 Successfully added or changed the agentless. HA Pair peers are Management IP : 10.141.17.192 (Primary) The sensor may use any of these management IP addresses to perform certificate automation activities. IMPORTANT: After you run this command, return to Manage Automation Agents in console. Verify that the certificate host appears and is configured.
F5 BIG-IP
Voer op het sensorsysteem het hulpprogramma addagentless uit met het -type BIGIP-argument om een F5 BIG-IP load balancer toe te voegen voor sensorgebaseerde automatisering.
Voorbeeld van een interactieve configuratiesessie:
Sensor CLI. Copyright 2020, DigiCert Inc. Add or change login credentials and specify data IP addresses for certificate automation. Enter management IP address:10.141.17.192 Enter Management Port:443 If available, do you want to map this sensor with the previously voided load balancer (Y/N)?:N Enter web service username: admin Enter web service password: Confirm web service password: Successfully added or changed the agentless automation. This applies to the following HA Pair peers : Management IP: 10.141.17.192 (ACTIVE) Starting agentless configuration for this host. Go to Automated IPs in CertCentral to finish configuring host details and set up automation.
Wanneer de F5 BIG-IP load balancer is toegevoegd, verzamelt de sensor automatisch informatie over IP/poorten die kunnen worden geautomatiseerd.
Voor een succesvolle automatisering:
Zorg ervoor dat u alleen ondersteunde netwerkprotocollen selecteert bij het configureren van virtuele IP's. Opmerking: Het UDP-protocol ondersteunt geen automatisering. Virtuele IP's die zijn geconfigureerd met UDP-protocollen, worden gefilterd en kunnen niet worden gevonden.
Voor virtuele servers die zijn geconfigureerd met iApp-sjablonen, schakelt u Strikte updates uit voor een succesvolle automatisering. Ga in de F5-console naar de map iApps Application Services en verwijder het vinkje in het selectievakje Strikte updates.
Voeg voor uw Virtual Server-configuratie geen Bestemmingsadres/masker toe. Automatisering kan geen bestemmingsadres identificeren dat is opgegeven als xxx.xxx.xxx.xxx/0. Het adres zal worden weergegeven als 0.0.0.0. Dergelijke IP's kunnen niet worden geautomatiseerd.
Voor high-availability (HA) configuraties hoeft het hulpprogramma
addagentlessslechts een keer worden uitgevoerd. Voer de zwevende of beheer-IP van een van de load balancers in. De sensor zal automatisch de HA Peer-configuratie detecteren.
Amazon Web Services (AWS)
Op DigiCert-sensor gebaseerde automatisering ondersteunt AWS Application/Network Load Balancer (ALB/NLB) en AWS CloudFront. Merk op dat:
Nieuwe geautomatiseerde certificaten worden in AWS Certificate Manager (ACM) opgeslagen, onafhankelijk van het originele certificaat dat is opgeslagen in AWS Identity and Access Management (IAM).
Bij het automatiseren van een distributie zonder certificaten, raadt AWS aan de distributie-instellingen te wijzigen in:
SSLSupportMethodtotsni-onlyMinimumProtocolVersiontotTLSv12_2019
Let op
Gebruikers met beperkte toegang hebben machtigingen nodig voor het vermelde beleid.
Voor AWS ALB/NLB:
Voor AWS CloudFront:
Voer op het sensorsysteem het hulpprogramma addagentless uit met het -type AWS-argument om een AWS ALB/NLB load balancer toe te voegen voor sensorgebaseerde automatisering.
Voer op het sensorsysteem het hulpprogramma addagentless uit met het -type AWS-CLOUDFRONT-argument om een AWS CloudFront-distributie toe te voegen voor sensorgebaseerde automatisering.
Tijdens de configuratie wordt u gevraagd om een van de volgende AWS-aanmeldingsmethoden te selecteren:
Gebruik de standaard providerketen voor AWS-referenties
Lever zelf de referenties
Gebruik een AWS-profielnaam
Hieronder vindt u interactieve-configuratievoorbeelden van het aan een sensor toevoegen van een AWS ALB of NLB load balancer, waarbij deze 3 verschillende aanmeldingsmethoden worden geselecteerd (gebruik de tabbladen bovenaan om iedere methode te bekijken). Aanvullende details over AWS-referenties volgen op deze voorbeelden.
AWS-referenties: providerketen
Wanneer u een AWS load balancer toevoegt voor sensorgebaseerde automatisering, heeft u de optie om een providerketen voor AWS-referenties te gebruiken voor de aanmelding. Met deze methode worden de referenties tijdens een automatiseringsgebeurtenis in de onderstaande volgorde opgevraagd:
Omgevingsvariabelen –
AWS_ACCESS_KEY_IDenAWS_SECRET_ACCESS_KEY.Opmerking: U moet de sensor opnieuw opstarten:
Als omgevingsvariabelen worden toegevoegd terwijl de sensor al is geïnstalleerd en actief is.
Als omgevingsvariabelen worden bijgewerkt of gewijzigd terwijl de sensor actief is.
Profielbestand voor referenties op de standaardlocatie (
~/.aws/credentials) gedeeld door alle AWS SDK's en de AWS CLI.Voor een succesvolle verificatie raden we het volgende aan:
De
AWS_CREDENTIAL_PROFILES_FILE-omgevingsvariabele toevoegen.Het referentiebestand instellen op een locatie waar zowel de sensor als de gebruiker er toegang toe hebben.
Bijvoorbeeld:
AWS_CREDENTIAL_PROFILES_FILE=path/to/credentials_fileOpmerking: U moet de sensor opnieuw opstarten als er een update of wijziging wordt aangebracht in de omgevingsvariabelen terwijl de sensor actief is.
Inloggegevens voor instantieprofielen geleverd via de Amazon EC2-metadataservice.
Voor succesvolle authenticatie van instantiereferenties:
Sensor moet worden geïnstalleerd op de EC2-instantie.
De rol Identiteits- en toegangsbeheer (IAM) moet zijn gekoppeld aan een EC2-instantie. Om de IAM-rol te maken en aan een instantie te koppelen, raadpleegt u IAM-rol maken en IAM-rol toewijzen aan een instantie (hieronder).
De IAM-rol die aan de instantie is gekoppeld, moet de volgende beleidsautorisatie hebben:
Voor AWS ALB/NLB:
Voor AWS CloudFront:
Zie de AWS-documentatie voor meer informatie.
IAM-rol maken
Meld u aan bij AWS Management Console en selecteer de IAM-service.
Selecteer Toegangsbeheer > Rollen in het zijbalkmenu. Selecteer vervolgens Rol maken.
Selecteer op de pagina Rol maken het vertrouwde entiteitstype AWS-service en de use case EC2. Selecteer vervolgens Volgende: Machtigingen.
Selecteer het beleid dat u aan de rol wilt toewijzen. Selecteer vervolgens Volgende: Tags.
Wijs tags toe aan de rol (optioneel) en selecteer Volgende Controleren:.
Voer een rolnaam in, voeg een beschrijving toe (optioneel) en selecteer Rol maken.
IAM-rol toewijzen aan een instantie
Selecteer EC2-service in de AWS Management Console.
Selecteer Instanties in het zijbalkmenu.
Selecteer de instantie op de pagina Instanties. Selecteer vervolgens Acties > Instantie-instellingen > IAM-rol bijvoegen/vervangen.
Selecteer op de pagina IAM-rol bijvoegen/vervangen de IAM-rol die u aan uw instantie wilt koppelen. Selecteer vervolgens Toepassen.
Belangrijk
Geef inloggegevens op ten minste één van deze locaties op zodat de sensor verbinding kan maken met AWS.
AWS-referenties: profielnaam
Als u een AWS-profielnaam wilt gebruiken voor uw referenties, stelt u het profiel in met sleutel-waardeparen. U kunt dit doen in het AWS-profielbestand met referenties dat zich op de standaardlocatie bevindt (~/.aws/credentials), die wordt gedeeld door alle AWS SDK's en de AWS CLI.
Voor een succesvolle verificatie raden we het volgende aan:
De
AWS_CREDENTIAL_PROFILES_FILE-omgevingsvariabele toevoegen.Het bestand met referenties instellen op een locatie waar zowel de sensor als de gebruiker er toegang toe hebben.
Bijvoorbeeld: AWS_CREDENTIAL_PROFILES_FILE=path/to/credentials_file
[default] aws_access_key_id = YOUR_ACCESS_KEY_ID aws_secret_access_key = YOUR_SECRET_ACCESS_KEY [profile1] aws_access_key_id = YOUR_ACCESS_KEY_ID aws_secret_access_key = YOUR_SECRET_ACCESS_KEY [profile2] aws_access_key_id = YOUR_ACCESS_KEY_ID aws_secret_access_key = YOUR_SECRET_ACCESS_KEY [profile3] aws_access_key_id = YOUR_ACCESS_KEY_ID aws_secret_access_key = YOUR_SECRET_ACCESS_KEY
Als u met meerdere AWS-accounts werkt, kunt u eenvoudig schakelen tussen uw accounts door meerdere profielen (sets referenties) in uw referentiesbestand te maken.
Elk gedeelte (bijvoorbeeld [default], [profile1], [profile2]), representeert een apart aanmeldprofiel. Het trefwoord tussen vierkante haken is uw profielnaam.
Belangrijk
Als u de AWS-profielnaam niet opgeeft als aanmelding, gebruiken we de AWS-account-ID als uw referenties.