部署选项
托管自动化
托管自动化是 DigiCert 的一站式自动化解决方案。它具有高度可扩展性,并且设置和维护起来非常简单。
在两种主要部署场景下可考虑使用托管自动化,具体取决于 TLS 证书所在的位置:
要在标准主机上实现自动化证书管理,需要安装一个名为“ACME 代理”的轻量级软件。ACME 代理使用行业标准的 ACME 协议来管理每个主机上的证书。
ACME 代理软件不能安装到专有网络设备上。必须在网络的另一个系统上安装一个名为“传感器”的软件。该传感器使用 API 调用远程管理一个或多个网络设备上的证书。
注意
一个完整的自动化部署通常涉及许多不同的主机和网络设备。每个主机上都必须安装 ACME 代理软件,但您可以从单个传感器安装中管理多个网络设备。
标准主机的托管自动化(基于 ACME 代理)
在标准主机上实现证书自动化需要在每个主机上安装 ACME 代理软件。
该代理是 DigiCert 的本地主机自动化客户端,包括行业标准的 ACME 协议和高级管理功能。它支持 web 服务器的证书自动化,包括 Microsoft IIS、Apache HTTP Server、Apache Tomcat、Nginx 和 IBM HTTP Server 。
您可以从 CertCentral 下载代理软件。它安全轻巧,对系统或网络性能没有影响。安装后,ACME 代理会自动更新,因此无需进行持续维护。
每个 ACME 代理采用“拉取式”通信模式,通过安全链路与 DigiCert 云同步。无需更改网络配置或防火墙。网络完整性保持不变。
注意
对于需要通过代理服务器连接到 Internet 的主机,您可以选择使用 DigiCert 传感器作为代理。使用传感器作为代理为证书自动化提供了额外的容错选项。
网络设备的托管自动化(基于传感器)
由于无法在专有网络设备上安装 ACME 代理软件,因此必须改用基于网络的传感器软件。
传感器是 DigiCert 的本地自动化客户端,用于管理专有网络设备(如负载均衡器)上的 TLS 证书。它支持专用负载均衡器(如 F5 BIG-IP LTM、Citrix NetScaler、A10)的证书自动化,以及基于云的负载均衡器服务(如 Amazon ELB 和 CloudFront)。传感器还可以作为 ACME 代理的代理服务器使用,为其提供自动化故障转移服务。
您可以从 CertCentral 下载传感器软件。传感器的配置取决于其管理的网络设备的类型以及是否提供代理/故障转移服务。安装后,传感器会自动更新,因此无需进行持续维护。
单个传感器可以为许多不同的系统管理自动化并提供代理服务。这可以包括硬件和基于云的负载均衡器,也包括作为代理服务器使用的任何本地主机。传感器必须安装在网络上能够与所有这些系统通信的专用主机上。
与 DigiCert 代理一样,传感器软件安全且可以无缝运行,不会影响网络性能或完整性。
注意
CertCentral 自动化服务使用的传感器和代理软件也用于发现服务。如果已经安装了用于发现的传感器或代理,您也可以使用它们实现自动化,反之亦然。
基于传感器的自动化又称为“无代理”或“远程”,因为它们不需要在每个系统上本地安装代理。
使用第三方 ACME 客户端实现自动化
CertCentral 自动化服务还支持使用第三方 ACME 客户端,例如 EFF certbot 和 Kubernetes cert-manager。在这种情况下,您将使用第三方 ACME 客户端,而不是 DigiCert 的本地 ACME 代理。
要使用第三方 ACME 客户端,您必须在 CertCentral 平台外下载软件,并将其分别安装到每个需要运行证书自动化的主机上。安装好的 ACME 客户端必须根据其独特的部署需求进行配置,并且必须能够访问 DigiCert 云。
以下是在 CertCentral 自动化服务中使用第三方 ACME 客户端时需要考虑的潜在限制:
不支持专用网络设备(如负载均衡器)。
无法自动进行软件更新。必须手动维护每个客户端。
缺少集中管理功能。必须在每个客户端上本地启动自动化操作。
可能需要更改网络和防火墙。
由于存在上述限制,DigiCert 仅建议将第三方 ACME 客户端用于较小规模的自动化部署,或用于可从集中位置为大规模自动化提供本地支持的客户端,例如 Kubernetes cert-manager。
通过 API 调用实现自动化
部署自动化的最后一种方法是使用 DigiCert API 库。API调用用于各种托管自动化功能,如证书注册和续订操作。通过 API,您可以直接从自定义 web 应用程序集成和触发这些自动化操作。
自动化服务 API 要求已在相关系统上安装和配置 DigiCert 代理和传感器。虽然由 API 启动自动化操作,但下载和安装证书的实际工作仍由托管自动化客户端执行。