Skip to main content

部署选项

托管自动化

托管自动化是 DigiCert 的一站式自动化解决方案。它具有高度可扩展性,并且设置和维护起来非常简单。

在两种主要部署场景下可考虑使用托管自动化,具体取决于 TLS 证书所在的位置

  • 标准主机,如 web 服务器

    要在标准主机上实现自动化证书管理,需要安装一个名为“ACME 代理”的轻量级软件。ACME 代理使用行业标准的 ACME 协议来管理每个主机上的证书。

  • 网络设备,如负载均衡器

    ACME 代理软件不能安装到专有网络设备上。必须在网络的另一个系统上安装一个名为“传感器”的软件。该传感器使用 API 调用远程管理一个或多个网络设备上的证书。

注意

一个完整的自动化部署通常涉及许多不同的主机和网络设备。每个主机上都必须安装 ACME 代理软件,但您可以从单个传感器安装中管理多个网络设备。

managed_automation_deployment.png

标准主机的托管自动化(基于 ACME 代理)

在标准主机上实现证书自动化需要在每个主机上安装 ACME 代理软件。

该代理是 DigiCert 的本地主机自动化客户端,包括行业标准的 ACME 协议和高级管理功能。它支持 web 服务器的证书自动化,包括 Microsoft IIS、Apache HTTP Server、Apache Tomcat、Nginx 和 IBM HTTP Server 。

您可以从 CertCentral 下载代理软件。它安全轻巧,对系统或网络性能没有影响。安装后,ACME 代理会自动更新,因此无需进行持续维护。

每个 ACME 代理采用“拉取式”通信模式,通过安全链路与 DigiCert 云同步。无需更改网络配置或防火墙。网络完整性保持不变。

注意

对于需要通过代理服务器连接到 Internet 的主机,您可以选择使用 DigiCert 传感器作为代理。使用传感器作为代理为证书自动化提供了额外的容错选项。

网络设备的托管自动化(基于传感器)

由于无法在专有网络设备上安装 ACME 代理软件,因此必须改用基于网络的传感器软件。

传感器是 DigiCert 的本地自动化客户端,用于管理专有网络设备(如负载均衡器)上的 TLS 证书。它支持专用负载均衡器(如 F5 BIG-IP LTM、Citrix NetScaler、A10)的证书自动化,以及基于云的负载均衡器服务(如 Amazon ELB 和 CloudFront)。传感器还可以作为 ACME 代理的代理服务器使用,为其提供自动化故障转移服务。

您可以从 CertCentral 下载传感器软件。传感器的配置取决于其管理的网络设备的类型以及是否提供代理/故障转移服务。安装后,传感器会自动更新,因此无需进行持续维护。

单个传感器可以为许多不同的系统管理自动化并提供代理服务。这可以包括硬件和基于云的负载均衡器,也包括作为代理服务器使用的任何本地主机。传感器必须安装在网络上能够与所有这些系统通信的专用主机上。

与 DigiCert 代理一样,传感器软件安全且可以无缝运行,不会影响网络性能或完整性。

注意

CertCentral 自动化服务使用的传感器和代理软件也用于发现服务。如果已经安装了用于发现的传感器或代理,您也可以使用它们实现自动化,反之亦然。

基于传感器的自动化又称为“无代理”或“远程”,因为它们不需要在每个系统上本地安装代理。

使用第三方 ACME 客户端实现自动化

CertCentral 自动化服务还支持使用第三方 ACME 客户端,例如 EFF certbot 和 Kubernetes cert-manager。在这种情况下,您将使用第三方 ACME 客户端,而不是 DigiCert 的本地 ACME 代理。

要使用第三方 ACME 客户端,您必须在 CertCentral 平台外下载软件,并将其分别安装到每个需要运行证书自动化的主机上。安装好的 ACME 客户端必须根据其独特的部署需求进行配置,并且必须能够访问 DigiCert 云。

以下是在 CertCentral 自动化服务中使用第三方 ACME 客户端时需要考虑的潜在限制:

  • 不支持专用网络设备(如负载均衡器)。

  • 无法自动进行软件更新。必须手动维护每个客户端。

  • 缺少集中管理功能。必须在每个客户端上本地启动自动化操作。

  • 可能需要更改网络和防火墙。

由于存在上述限制,DigiCert 仅建议将第三方 ACME 客户端用于较小规模的自动化部署,或用于可从集中位置为大规模自动化提供本地支持的客户端,例如 Kubernetes cert-manager。

通过 API 调用实现自动化

部署自动化的最后一种方法是使用 DigiCert API 库。API调用用于各种托管自动化功能,如证书注册续订操作。通过 API,您可以直接从自定义 web 应用程序集成和触发这些自动化操作。

自动化服务 API 要求已在相关系统上安装和配置 DigiCert 代理和传感器。虽然由 API 启动自动化操作,但下载和安装证书的实际工作仍由托管自动化客户端执行。