部署選項
受管理的自動化
受管理的自動化是 DigiCert 的一站式自動化解決方案。這是最有擴充性、最容易設定和維護的解決方案。
根據 TLS 憑證所在位置,有兩個要考量受管理的自動化的主要部署場景:
為了自動化標準主機上的憑證管理,您在其上安裝稱為「ACME 代理程式」的輕型軟體。ACME 代理程式使用業界標準 ACME 通訊協定管理每個主機上的憑證。
無法將 ACME 代理程式軟體安裝在專有的網路設備上。相反的,您必須安裝程為「感應器」的軟體到您網路的其他系統中。感應器使用 API 呼叫遠端管理一個或多個網路設備呼叫遠端管理一個或多個網路設備上的憑證。
Note
完整的自動化部署通常包括混合很多不同的主機和網路設備。每部獨立的主機必須已安裝 ACME 代理程式軟體,但您可以從單一感應器安裝中管理多個網路設備。
標準主機的受管理自動化 (基於 ACME 代理程式)
自動化標準主機上的憑證需要您在每個標準主機上安裝 ACME 代理程式軟體。
代理程式是 DigiCert 的原生主機自動化用戶端,其中包括業界標準 ACME 通訊協定和高階管理功能。支援網頁伺服器的憑證自動化,包括 Microsoft IIS、Apache HTTP Server、Apache Tomcat、Nginx 和 IBM HTTP Server。
您從 CertCentral 下載代理程式軟體。針對安全和輕型而設計,針對安全和輕型而設計,對系統或網路效能沒有任何影響。安裝後,ACME 代理程式保持在最新狀態,因此不需要持續的維護。
每個 ACME 代理程式使用「」通訊模型透過安全的連結與 DigiCert 雲端同步。不需要網路組態或防火牆變更。網路完整性保持完整。
Note
關於必須透過 Proxy 伺服器與網際網路連線的主機,您可以選擇使用 DigiCert 感應器作為 Proxy。使用作為 Proxy 的感應器提供其他容錯選項給您的憑證自動化。
網路設備 (基於感應器) 的受管理的自動化
由於無法在專用網路設備上安裝 ACME 代理程式軟體,因此您必須改用基於網路的感應器軟體。
感應器是 DigiCert 的原生自動化用戶端,用於管理負載平衡器等專用網路設備上的 TLS 憑證。支援專用負載平衡器 (例如 F5 BIG-IP LTM、Citrix NetScaler、A10) 和基於雲端的負載平衡器 (例如 Amazon ELB 和 CloudFront) 的憑證自動化。感應器也可以作為 ACME 代理程式的 Proxy,提供自動化故障轉移服務給它們。
從 CertCentral 下載感應器軟體。感應器的設定視感應器管理的網路設備類型與是否提供 Proxy/故障轉移服務而定。安裝後,感應器保持在最新狀態,因此不需要持續的維護。
單一感應器可管理自動化和提供很多不同系統的 Proxy 服務。這可能混合了硬體和基於雲端的負載平衡器,加上作為 Proxy 所在的任何本機主機。感應器必須安裝在可以和所有這些系統通訊的網路上的專用主機上。
跟 DigiCert 代理程式一樣,感應器軟體針對安全和無縫的操作而設計,對網路效能或完整生沒有任何影響。
Note
CertCentral 自動化服務使用的相同感應器和代理程式軟體也由探索服務使用。如果您已安裝進行探索的感應器和代理程式,您也可以將其使用在進行自動化,反之亦然。
基於感應器的自動化也稱為「無代理程式」或「遠端」,因其不需要在每個系統上本機安裝代理程式。
與第三方 ACME 用戶端自動化
CertCentral 自動化服務也支援使用第三方 ACME 用戶端,例如 EFF CertBot 和 Kubernetes 憑證管理員。在此情況中,您使用第三方 ACME 用戶端,而不使用 DigiCert 的原生 ACME 代理程式。
關於第三方 ACME 用戶端,您必須在 CertCentral 外下載軟體,將其分別安裝到將執行憑證自動化的每個主機上。安裝的 ACME 用戶端必須根據自已的特有部署需求設定,而且必須可以存取 DigiCert 雲端。
使用第三方 ACME 用戶端搭配 CertCentral 自動化服務時,以下是要考量的可能限制:
缺少負載平衡器等專有網路設備的支援。
缺少自動化的軟體更新。每個用戶端必須以手動方式維護。
缺少集中的管理功能。自動化動作必須在每個用戶端的本機開始。
可能需要其他網路和防火牆變更。
由於以上的限制,DigiCert 僅建議使用第三方 ACME 用戶端進行小規模的自動化部署,僅部署在原本從集中的位置支援大量自動化的 Kubernetes 憑證管理員等用戶端上。
透過 API 呼叫的自動化
部署自動化的最終方式是透過 DigiCert API 程式庫。API 呼叫提供給憑證註冊和續訂動作等各種受管理的自動化功能。API 允許您直接從自動網頁應用程式整合與觸發言些自動化動作。
自動化服務 API 需要已在相關系統上安裝和設定的 DigiCert 代理程式和感應器。在 API 開始自動化動作時,下載和安裝憑證的實際工作仍由受管理的自動化用戶端執行。