Opções de implantação
Automação gerenciada
A automação gerenciada é a solução de automação pronta para uso da DigiCert. É o mais escalável e fácil de configurar e manter.
Há dois cenários principais de implantação a serem considerados para automação gerenciada, com base em onde os certificados TLS residem:
Hosts padrão, como servidores da web
Para automatizar o gerenciamento de certificados em um host padrão, instale nele um software leve chamado "agente ACME". O agente ACME usa o protocolo ACME padrão do setor para gerenciar os certificados em cada host.
Dispositivos de rede, como balanceadores de carga
Não é possível instalar o software do agente ACME em um dispositivo de rede proprietário. Em vez disso, você deve instalar um software diferente chamado "sensor" em outro sistema em sua rede. O sensor usa chamadas de API para gerenciar remotamente os certificados em um ou mais dispositivos de rede.
Aviso
Uma implantação de automação completa normalmente envolve uma combinação de muitos hosts e dispositivos de rede diferentes. Cada host individual deve ter o software do agente ACME instalado nele, mas você pode gerenciar vários dispositivos de rede a partir de uma única instalação de sensor.
Automação gerenciada para hosts padrão (baseado em agente ACME)
Automatizar certificados em hosts padrão requer que você instale o software do agente ACME em cada um deles.
O agente é o cliente de automação de host nativo da DigiCert, que inclui o protocolo ACME padrão do setor, além de funções de gerenciamento de alto nível. Ele suporta automações de certificados para servidores da web, incluindo Microsoft IIS, Apache HTTP Server, Apache Tomcat, Nginx e IBM HTTP Server.
Você baixa o software do agente da CertCentral. Ele foi projetado para ser seguro e leve, sem impacto no desempenho do sistema ou da rede. Uma vez instalado, o agente ACME mantém-se atualizado, portanto, não é necessária nenhuma manutenção contínua.
Cada agente ACME usa um modelo de comunicação "pull" para sincronizar com a nuvem DigiCert por meio de um link seguro. Nenhuma configuração de rede ou alterações de firewall são necessárias. A integridade da rede permanece intacta.
Nota
Para hosts que precisam passar por um servidor proxy para se conectar à Internet, você tem a opção de usar um sensor DigiCert como proxy. O uso de um sensor como proxy fornece opções adicionais de tolerância a falhas para suas automações de certificado.
Automação gerenciada para dispositivos de rede (com base em sensor)
Como não é possível instalar o software do agente ACME em dispositivos de rede proprietários, você deve usar o software do sensor baseado em rede.
O sensor é o cliente de automação nativo da DigiCert para gerenciar certificados TLS em dispositivos de rede proprietários, como balanceadores de carga. Ele oferece suporte a automações de certificado para balanceadores de carga dedicados (como F5 BIG-IP LTM, Citrix NetScaler, A10), bem como serviços de balanceador de carga baseados em nuvem (como Amazon ELB e CloudFront). Um sensor também pode atuar como um proxy para agentes ACME, fornecendo serviços de failover de automação para eles.
Você baixa o software do sensor da CertCentral. A configuração do sensor depende dos tipos de dispositivos de rede que ele gerencia e se ele fornece serviços de proxy/failover. Uma vez instalado, o sensor mantém-se atualizado, pelo que não é necessária manutenção contínua.
Um único sensor pode gerenciar automações e fornecer serviços de proxy para muitos sistemas diferentes. Isso pode incluir uma combinação de balanceadores de carga baseados em nuvem e hardware, além de qualquer host local onde ele atue como proxy. O sensor deve ser instalado em um host dedicado na rede capaz de se comunicar com todos esses sistemas.
Assim como o agente DigiCert, o software do sensor foi projetado para operação segura e contínua, sem impacto no desempenho ou integridade da rede.
Nota
O mesmo software de sensor e agente usado pelo serviço de automação CertCentral também é usado pelo serviço Discovery. Se você já possui sensores ou agentes instalados para Discovery, também pode usá-los para automação e vice-versa.
As automações baseadas em sensores também são chamadas de "sem agente" ou "remotas", pois não exigem um agente instalado localmente em cada sistema.
Automação com clientes ACME de terceiros
O serviço de automação CertCentral também suporta o uso de clientes ACME de terceiros, como EFF certbot e Kubernetes cert-manager. Nesse caso, você usa o cliente ACME de terceiros em vez do agente ACME nativo da DigiCert.
Para clientes ACME de terceiros, você deve baixar o software fora do CertCentral, instalando-o separadamente em cada host que executará automações de certificados. Os clientes ACME instalados devem ser configurados com base em seus próprios requisitos de implantação exclusivos e devem poder acessar a nuvem DigiCert.
A seguir estão as limitações potenciais a serem consideradas ao usar clientes ACME de terceiros com o serviço de automação CertCentral:
Falta de suporte para dispositivos de rede proprietários, como balanceadores de carga.
Falta de atualizações de software automatizadas. Cada cliente deve ser mantido manualmente.
Falta de recursos de gerenciamento centralizado. As ações de automação devem ser iniciadas localmente em cada cliente.
Pode exigir alterações adicionais de rede e firewall.
Devido às limitações acima, a DigiCert recomenda apenas o uso de clientes ACME de terceiros para implantações de automação de menor porte ou para clientes como o cert-manager do Kubernetes que suportam nativamente automações de alto volume de um local centralizado.
Automação por meio de chamadas de API
Uma maneira final de implantar a automação é por meio da biblioteca da API DigiCert. As chamadas de API são fornecidas para as várias funções de automação gerenciadas, como as ações ENROLL e RENEW do certificado. A API permite integrar e acionar essas ações de automação diretamente de aplicativos web personalizados.
A API do serviço de automação exige que os agentes e sensores DigiCert já estejam instalados e configurados nos sistemas relevantes. Enquanto a API inicia as ações de automação, o trabalho real de baixar e instalar os certificados ainda é executado pelos clientes de automação gerenciados.