Skip to main content

传感器配置示例

安装并激活传感器后,必须对传感器本身执行初始配置,以添加用于自动化的网络设备。可以从命令行以交互方式完成初始配置,也可以通过添加和读取文本文件中的配置参数来完成。

下面的示例演示了如何使用交互式配置方法为基于传感器的自动化添加各种类型的网络设备。

重要

每个网络设备的登录密码必须符合 DigiCert 密码要求,才能进行自动化。密码必须含有大写字母、小写字母、数字或符号。

不同类型网络设备的可用符号:

  • A10:!@#$%^()-+_ {}[]~?:./

  • Citrix NetScaler:~!@#$%^*()_+-|`{}[]:;?/,."

  • F5 BIG-IP:~!@#$%^&*()_+`-={}[]|;:'"<>,./?

A10

要为基于传感器的自动化添加 A10 负载均衡器,请在传感器系统上运行带有 -type A10 参数的 addagentless 实用程序。

交互式配置会话示例:

Sensor CLI. Copyright 2020, DigiCert Inc.
Add or change login credentials and specify data IP addresses for certificate automation.
Enter management IP address:10.141.17.192
Enter Management Port (443):443
If available, do you want to map this sensor with the previously voided loadbalancer (Y/N)?:N
Important: Enter an account that has admin (superuser) permission to manage all partitions on the A10 load balancer.
Enter admin username:admin
Enter admin password:
Confirm admin password:
Successfully added or changed the agentless.
IMPORTANT: After you run this command, return to Manage Automation Agents. Verify that the certificate host appears and is configured.

A10 高可用性

要为基于传感器的自动化添加 A10 高可用性负载均衡器,请在传感器系统上运行带有 -type A10 -ha VRRPA 参数的 addagentless 实用程序。

交互式配置会话示例:

Sensor CLI. Copyright 2021, DigiCert Inc.
Add or change login credentials and specify data IP addresses for certificate automation.
Enter management IP address:10.141.17.192
Enter Management Port (443):443
Important: Enter an account that has admin (superuser) permission to manage all partitions on the A10 load balancer.
Enter admin username:admin
Enter admin password:
Confirm admin password:
Enter SSH enable password:
Confirm SSH enable password:
For high availability configurations, enter the management IP address and login information for each additional load balancer in the configuration. To finish the list, press Return at the prompt (blank input).
Enter management IP address, port, and username (separated by commas):10.141.17.192,443,admin
Enter admin password:
Confirm admin password:
Enter management IP address, port, and username (separated by commas):
Successfully added or changed the agentless.
IMPORTANT: After you run this command, return to Manage Automation Agents. Verify that the certificate host appears and is configured.

Citrix NetScaler

要为基于传感器的自动化添加 Citrix NetScaler 负载均衡器,请在传感器系统上运行带有 -type NETSCALER 参数的 addagentless 实用程序。

交互式配置会话示例:

Sensor CLI. Copyright 2020, DigiCert Inc.
Add or change login credentials and specify data IP addresses for certificate automation.
Enter the management IP:10.141.17.192
http or https:https
Enter management Port (443):443
If available, do you want to map this sensor with the previously voided loadbalancer (Y/N)?:N
Enter webservice username:nsroot
Enter webservice password:
Confirm webservice password:
Enter SSH username:nsroot
Enter SSH password:
Confirm SSH password:
Enter SSH port:22
Successfully added or changed the agentless. HA Pair peers are
Management IP : 10.141.17.192     (Primary)
The sensor may use any of these management IP addresses to perform certificate automation activities.
IMPORTANT: After you run this command, return to Manage Automation Agents in console. Verify that the certificate host appears and is configured.

F5 BIG-IP

要为基于传感器的自动化添加 F5 BIG-IP 负载均衡器,请在传感器系统上运行带有 -type BIGIP 参数的 addagentless 实用程序。

交互式配置会话示例:

Sensor CLI. Copyright 2020, DigiCert Inc.
Add or change login credentials and specify data IP addresses for certificate automation.
Enter management IP address:10.141.17.192
Enter Management Port:443
If available, do you want to map this sensor with the previously voided load balancer (Y/N)?:N
Enter web service username: admin
Enter web service password:
Confirm web service password:
Successfully added or changed the agentless automation. This applies to the following HA Pair peers :
Management IP: 10.141.17.192  (ACTIVE)
Starting agentless configuration for this host. Go to Automated IPs in CertCentral to finish configuring host details and set up automation.

添加 F5 BIG-IP 负载均衡器后,传感器会自动收集可自动化的 IP/端口的信息。

为了顺利实现自动化,

  • 确保在配置虚拟 IP 时仅选择支持的网络协议。注意:UDP 协议不支持自动化。使用 UDP 协议配置的虚拟 IP 会被过滤,无法被发现。

  • 对于使用 iApp 模板配置的虚拟服务器,请禁用严格更新,以顺利实现自动化。在 F5 控制中心,转到 iApps 应用程序服务文件夹,取消选中严格更新复选框。

  • 对于虚拟服务器配置,不要添加目标地址/掩码。自动化无法识别指定为 xxx.xxx.xxx.xxx/0 的目标地址。地址会显示为 0.0.0.0。这类 IP 无法自动化。

  • 对于高可用性 (HA) 配置,只需运行一次 addagentless 实用程序。输入其中一个负载均衡器的浮动 IP 或管理 IP。传感器将自动检测 HA 对等配置。

Amazon Web Services (AWS)

DigiCert 传感器自动化支持 AWS 应用程序/网络负载均衡器 (ALB/NLB) 和 AWS CloudFront。请注意:

  • 新自动化的证书将存储在 AWS 证书管理器 (ACM) 中,与存储在 AWS 身份与访问管理 (IAM) 中的原始证书分开。

  • 在不使用证书的情况下自动分发时,AWS 会建议将分发设置修改为:

    • SSLSupportMethodsni-only

    • MinimumProtocolVersionTLSv12_2019

注意

访问权限受到限制的用户需要具有列表中所列策略的权限。

AWS ALB/NLB:

AWS CloudFront:

要为基于传感器的自动化添加 AWS ALB/NLB 负载均衡器,请在传感器系统上运行带有 -type AWS 参数的 addagentless 实用程序。

要为基于传感器的自动化添加 AWS CloudFront 分发,请在传感器系统上运行带有 -type AWS-CLOUDFRONT 参数的 addagentless 实用程序。

配置时,系统会提示您选择以下 AWS 登录方法之一:

  1. 使用默认的 AWS 凭证提供程序链

  2. 自行提供凭证

  3. 使用 AWS 配置文件名称

下面是选择这 3 种不同的登录方法将 AWS ALB 或 NLB 负载均衡器添加到传感器的交互式配置示例(使用顶部的选项卡查看每种方法)。这些示例的后面提供了有关 AWS 凭据的更多详细信息。

AWS 凭证:提供程序链

为基于传感器的自动化添加 AWS 负载均衡器时,您可以选择使用 AWS 凭据提供程序链进行登录。使用此方法,将在自动化事件期间按以下顺序查找登录凭据:

  1. 环境变量 - AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY

    注意:必须重启传感器:

    • 如果在传感器已安装并正在运行时添加了环境变量。

    • 如果在传感器运行时,更新或更改了环境变量。

  2. 凭证配置文件位于所有 AWS SDK 和 AWS CLI 共享的默认位置 (~/.aws/credentials)。

    为了顺利完成身份验证,我们建议:

    • 添加 AWS_CREDENTIAL_PROFILES_FILE 环境变量。

    • 将凭证文件设置到传感器和用户都有权限访问的位置。

    例如:AWS_CREDENTIAL_PROFILES_FILE=path/to/credentials_file

    注意:如果在传感器运行时,更新或更改了环境变量,必须重启传感器。

  3. 通过 Amazon EC2 元数据服务传送的实例配置文件凭证。

    成功的实例凭证身份验证。

    1. 必须在 EC2 实例上安装传感器。

    2. 身份与访问管理 (IAM) 角色必须与 EC2 实例关联。如需创建 IAM 角色并关联到实例,请参阅创建 IAM 角色将 IAM 角色分配到实例(如下)。

    3. 与实例关联的 IAM 角色必须具有以下策略授权:

如需了解更多详情,请参阅 AWS 文档

创建 IAM 角色

  1. 登录到 AWS 管理控制中心,并选择 IAM 服务。

  2. 在侧栏菜单中选择访问权限管理 > 角色。然后选择创建角色

  3. 在“创建角色”页面上选择 AWS 服务信任的实体类型和 EC2 用例。然后选择下一步:权限

  4. 选择要分配到角色的策略。然后选择下一步:标签

  5. 向角色分配标签(可选),然后选择下一步:审核

  6. 输入角色名称,添加描述(可选),然后选择创建角色

将 IAM 角色分配到实例

  1. 在 AWS 管理控制中心,选择 EC2 服务。

  2. 在侧栏菜单中选择实例

  3. 在“实例”页面中选择实例。然后选择操作 > 实例设置 > 附加/更换 IAM 角色

  4. 在“附加/更换 IAM 角色”页面上,选择要附加到实例中的 IAM 角色。然后选择应用

重要

在至少一个位置为连接到 AWS 的传感器提供凭证。

AWS 凭证:配置文件名称

如需为登录凭证使用 AWS 配置文件名称,请使用密钥值对设置配置文件。您可以在位于所有 AWS SDK 和 AWS CLI 共享的默认位置 (~/.aws/credentials) 的 AWS 凭证配置文件中执行此操作。

为了顺利完成身份验证,我们建议:

  • 添加 AWS_CREDENTIAL_PROFILES_FILE 环境变量。

  • 将凭证文件设置到传感器和用户都有权限访问的位置。

例如:AWS_CREDENTIAL_PROFILES_FILE=path/to/credentials_file

[default]
aws_access_key_id = YOUR_ACCESS_KEY_ID
aws_secret_access_key = YOUR_SECRET_ACCESS_KEY

[profile1]
aws_access_key_id = YOUR_ACCESS_KEY_ID
aws_secret_access_key = YOUR_SECRET_ACCESS_KEY

[profile2]
aws_access_key_id = YOUR_ACCESS_KEY_ID
aws_secret_access_key = YOUR_SECRET_ACCESS_KEY

[profile3]
aws_access_key_id = YOUR_ACCESS_KEY_ID
aws_secret_access_key = YOUR_SECRET_ACCESS_KEY

如果您使用多个 AWS 帐户,可以通过在凭证文件中创建多个配置文件(凭证集),轻松切换不同帐户。

每个部分(例如,[default][profile1][profile2])表示一个单独的凭证配置文件。方括号中的关键词是配置文件名称。

重要

如果未指定登录的 AWS 配置文件名称,我们将继续使用 AWS 帐户 ID 作为登录凭证。