Exemplos de configuração de sensores
Após instalar e ativar um sensor, deve-se realizar a configuração inicial no próprio sensor para adicionar os dispositivos de rede para automação. Essa configuração inicial pode ser executada interativamente a partir da linha de comando ou adicionando e lendo os parâmetros de configuração de um arquivo de texto.
Os exemplos abaixo demonstram o uso do método de configuração interativo para adicionar vários tipos de dispositivos de rede para automação baseada em sensores.
Importante
A senha de login de cada appliance de rede deve atender aos requisitos de senha da DigiCert para que funcione com automação. A senha deve conter letras maiúsculas e minúsculas, números ou símbolos.
Símbolos permitidos para diferentes tipos de dispositivos de rede:
A10: !@#$%^()-+_ {}[]~?:./
Citrix NetScaler: ~!@#$%^*()_+-|`{}[]:;?/,."
F5 BIG-IP: ~!@#$%^&*()_+`-={}[]|;:'"<>,./?
A10
Para adicionar um balanceador de carga A10 para automação baseada em sensor, execute o utilitário addagentless
com o argumento -type A10
no sistema de sensor.
Exemplo de sessão de configuração interativa:
Sensor CLI. Copyright 2020, DigiCert Inc. Add or change login credentials and specify data IP addresses for certificate automation. Enter management IP address:10.141.17.192 Enter Management Port (443):443 If available, do you want to map this sensor with the previously voided loadbalancer (Y/N)?:N Important: Enter an account that has admin (superuser) permission to manage all partitions on the A10 load balancer. Enter admin username:admin Enter admin password: Confirm admin password: Successfully added or changed the agentless. IMPORTANT: After you run this command, return to Manage Automation Agents. Verify that the certificate host appears and is configured.
Alta disponibilidade A10
Para adicionar um balanceador de carga de alta disponibilidade A10 para automação baseada em sensor, execute o utilitário addagentless
com os argumentos -type A10 -ha VRRPA
no sistema de sensor.
Exemplo de sessão de configuração interativa:
Sensor CLI. Copyright 2021, DigiCert Inc. Add or change login credentials and specify data IP addresses for certificate automation. Enter management IP address:10.141.17.192 Enter Management Port (443):443 Important: Enter an account that has admin (superuser) permission to manage all partitions on the A10 load balancer. Enter admin username:admin Enter admin password: Confirm admin password: Enter SSH enable password: Confirm SSH enable password: For high availability configurations, enter the management IP address and login information for each additional load balancer in the configuration. To finish the list, press Return at the prompt (blank input). Enter management IP address, port, and username (separated by commas):10.141.17.192,443,admin Enter admin password: Confirm admin password: Enter management IP address, port, and username (separated by commas): Successfully added or changed the agentless. IMPORTANT: After you run this command, return to Manage Automation Agents. Verify that the certificate host appears and is configured.
Citrix NetScaler
Para adicionar um balanceador de carga Citrix NetScaler para automação baseada em sensor, execute o utilitário addagentless
com o argumento -type NETSCALER
no sistema de sensor.
Exemplo de sessão de configuração interativa:
Sensor CLI. Copyright 2020, DigiCert Inc. Add or change login credentials and specify data IP addresses for certificate automation. Enter the management IP:10.141.17.192 http or https:https Enter management Port (443):443 If available, do you want to map this sensor with the previously voided loadbalancer (Y/N)?:N Enter webservice username:nsroot Enter webservice password: Confirm webservice password: Enter SSH username:nsroot Enter SSH password: Confirm SSH password: Enter SSH port:22 Successfully added or changed the agentless. HA Pair peers are Management IP : 10.141.17.192 (Primary) The sensor may use any of these management IP addresses to perform certificate automation activities. IMPORTANT: After you run this command, return to Manage Automation Agents in console. Verify that the certificate host appears and is configured.
F5 BIG-IP
Para adicionar um balanceador de carga F5 BIG-IP para automação baseada em sensor, execute o utilitário addagentless
com o argumento -type BIGIP
no sistema de sensor.
Exemplo de sessão de configuração interativa:
Sensor CLI. Copyright 2020, DigiCert Inc. Add or change login credentials and specify data IP addresses for certificate automation. Enter management IP address:10.141.17.192 Enter Management Port:443 If available, do you want to map this sensor with the previously voided load balancer (Y/N)?:N Enter web service username: admin Enter web service password: Confirm web service password: Successfully added or changed the agentless automation. This applies to the following HA Pair peers : Management IP: 10.141.17.192 (ACTIVE) Starting agentless configuration for this host. Go to Automated IPs in CertCentral to finish configuring host details and set up automation.
Quando o balanceador de carga F5 BIG-IP é adicionado, o sensor coleta automaticamente informações sobre IP/portas que podem ser automatizadas.
Para uma automação bem-sucedida:
Certifique-se de selecionar apenas os protocolos de rede suportados ao configurar IPs virtuais. Observação: O protocolo UDP não oferece suporte à automação. IPs virtuais configurados usando protocolos UDP serão filtrados e não podem ser descobertos.
Para servidores virtuais configurados com modelos de iApp, desative Atualizações restritas para uma automação bem-sucedida. No console F5, vá para a pasta iApps Application Services e desmarque a caixa de seleção Atualizações estritas.
Para a configuração do seu servidor virtual, não adicione um Endereço/máscara de destino. A automação não pode identificar um endereço de destino especificado como xxx.xxx.xxx.xxx/0. O endereço aparecerá como 0.0.0.0. Esses IPs não podem ser automatizados.
Para configurações de alta disponibilidade (HA), o utilitário
addagentless
só precisa ser executado uma vez. Insira o IP flutuante ou o IP de gerenciamento de um dos balanceadores de carga. O sensor detectará automaticamente a configuração do peer HA.
Amazon Web Services (AWS)
A automação baseada em sensor DigiCert oferece suporte ao AWS Application/Network Load Balancer (ALB/NLB) e AWS CloudFront. Observe que:
Certificados recém-automatizados serão armazenados no AWS Certificate Manager (ACM), independentemente do certificado original armazenado no AWS Identity and Access Management (IAM).
Ao automatizar uma distribuição sem certificados, a AWS recomenda modificar as configurações de distribuição para:
SSLSupportMethod
asni-only
MinimumProtocolVersion
aTLSv12_2019
Aviso
Os usuários com acesso limitado requerem permissões para as políticas listadas.
Para AWS ALB/NLB:
Para AWS CloudFront:
Para adicionar um balanceador de carga AWS ALB/NLB para automação baseada em sensor, execute o utilitário addagentless
com o argumento -type AWS
no sistema de sensor.
Para adicionar uma distribuição do AWS CloudFront para automação baseada em sensor, execute o utilitário addagentless
com o argumento -type AWS-CLOUDFRONT
no sistema de sensor.
Durante a configuração, você será solicitado a selecionar um dos seguintes métodos de login da AWS:
Use a cadeia de provedores de credenciais padrão da AWS
Forneça as credenciais você mesmo
Use um nome de perfil da AWS
Abaixo estão exemplos de configuração interativa de como adicionar um balanceador de carga AWS ALB ou NLB a um sensor, selecionando esses 3 métodos de login diferentes (use as guias na parte superior para visualizar cada um). Detalhes adicionais sobre as credenciais da AWS seguem estes exemplos.
Credenciais da AWS: cadeia de provedores
Ao adicionar um balanceador de carga da AWS para automação baseada em sensor, você tem a opção de usar uma cadeia de provedores de credenciais da AWS para login. Com este método, as credenciais de login serão buscadas na seguinte sequência durante um evento de automação:
Variáveis de ambiente -
AWS_ACCESS_KEY_ID
eAWS_SECRET_ACCESS_KEY
.Observação: Você deve reiniciar o sensor:
Se as variáveis de ambiente forem adicionadas enquanto o sensor já estiver instalado e funcionando.
Se as variáveis de ambiente são atualizadas ou alteradas enquanto o sensor está funcionando.
Arquivo de perfis de credenciais no local padrão (
~/.aws/credentials
) compartilhado por todos os SDKs da AWS e a AWS CLI.Para uma autenticação bem-sucedida, recomendamos:
Adicionando a variável de ambiente
AWS_CREDENTIAL_PROFILES_FILE
.Definir o arquivo de credencial para um local onde o sensor e o usuário tenham acesso a ele.
Por exemplo:
AWS_CREDENTIAL_PROFILES_FILE=path/to/credentials_file
Observação: Você deve reiniciar o sensor se uma atualização ou alteração for feita nas variáveis de ambiente quando o sensor estiver funcionando.
Credenciais de perfil de instância fornecidas por meio do serviço de metadados Amazon EC2.
Para autenticação de credencial de instância bem-sucedida:
O sensor deve ser instalado na instância EC2.
A função Identity and Access Management (IAM) deve ser vinculada a uma instância EC2. Para criar e vincular a função do IAM a uma instância, consulte Criar função do IAM e Atribuir função do IAM a uma instância (abaixo).
A função IAM associada à instância deve ter a seguinte autorização de política:
Para AWS ALB/NLB:
Para AWS CloudFront:
Para obter mais detalhes, consulte a documentação da AWS.
Criar papel IAM
Faça login no Console de gerenciamento da AWS e selecione o serviço IAM.
No menu da barra lateral, selecione Gerenciamento de acesso > Funções. Em seguida, selecione Criar função.
Na página Criar função, selecione o tipo de entidade confiável Serviço da AWS e o caso de uso EC2. Em seguida, selecione Próximo: Permissões.
Selecione as políticas que deseja atribuir à função. Em seguida, selecione Próximo: Etiquetas.
Atribua tags à função (opcional) e selecione Próximo: Revisar.
Insira um nome de função, adicione uma descrição (opcional) e selecione Criar função.
Atribuir papel IAM a uma instância
No Console de gerenciamento da AWS, selecione o serviço EC2.
No menu da barra lateral, selecione Instâncias.
Na página Instâncias, selecione a instância. Em seguida, selecione Ações > Configurações de instâncias > Anexar/substituir função do IAM.
Na página Attach / Replace IAM Role, selecione a função IAM para anexar à sua instância. Em seguida, selecione Aplicar.
Importante
Forneça credenciais em pelo menos um desses locais para o sensor se conectar ao AWS.
Credenciais da AWS: nome do perfil
Para usar um nome de perfil da AWS para suas credenciais de login, defina o perfil com pares de valor-chave. Você pode fazer isso no arquivo de perfis de credenciais da AWS localizado no local padrão (~/.aws/credentials
), que é compartilhado por todos os SDKs da AWS e a AWS CLI.
Para uma autenticação bem-sucedida, recomendamos:
Adicionando a variável de ambiente
AWS_CREDENTIAL_PROFILES_FILE
.Definir o arquivo de credencial para um local onde o sensor e o usuário tenham acesso a ele.
Por exemplo: AWS_CREDENTIAL_PROFILES_FILE=path/to/credentials_file
[default] aws_access_key_id = YOUR_ACCESS_KEY_ID aws_secret_access_key = YOUR_SECRET_ACCESS_KEY [profile1] aws_access_key_id = YOUR_ACCESS_KEY_ID aws_secret_access_key = YOUR_SECRET_ACCESS_KEY [profile2] aws_access_key_id = YOUR_ACCESS_KEY_ID aws_secret_access_key = YOUR_SECRET_ACCESS_KEY [profile3] aws_access_key_id = YOUR_ACCESS_KEY_ID aws_secret_access_key = YOUR_SECRET_ACCESS_KEY
Se você estiver trabalhando com várias contas da AWS, poderá alternar facilmente entre suas contas criando vários perfis (conjuntos de credenciais) em seu arquivo de credenciais.
Cada seção (por exemplo, [padrão], [perfil1], [perfil2]) representa um perfil de credencial separado. A palavra-chave entre colchetes é o nome do seu perfil.
Importante
Se você não especificar o nome do perfil da AWS como login, o ID da conta da AWS será usado como sua credencial de login.