DigiCert Automation Manager
V současném heterogenním firemním prostředí, kde se všechny aplikace a systémy přesunuly do cloudu, využíváme velké množství TLS certifikátů. Jejich správa se pro firmy stává čím dál náročnější a ve vyšším počtu je nemožné spravovat vše ručně. Naštěstí je tu možnost snadno automatizovat životní cyklus certifikátů na serverech, ale též na zařízeních, které nepodporují ACME protokol.
DigiCert Automation Manager je alternativa k ACME agentům
ACME protokol a jeho využití určitě znáte. Na serveru se používá pomocí tzv. agentů - tyto jednoduché programy se starají o získání, nastavení a včasné obnovení TLS certifikátů. Hodí se zejména pro webové servery, na kterých agenta nastavíte a necháte hlídat. Agent bude certifikát udržovat aktuální a vždy si sám upraví konfiguraci webserveru (tedy provede "instalaci" certifikátu).
Automatizaci pomocí ACME agentů doporučujeme spíše menším firmám a menším PKI ekosystémům, protože je stále dost heterogenní a roztříštěná. Každý server má vlastního agenta, který spravuje certifikáty pro určité domény; chybí centrální správa a přehled, protože každého agenta spravujete samostatně. Předpokládáme, že automatizace certifikátů bude fungovat bez problému, ale i tak budete chtít mít nad vším přehled a minimálně společně monitorovat expiraci certifikátů na serverech. A nebylo by pěkné mít nad všemi samostatnými agenty společnou správu?
Sjednocení a ovládání všech ACME agentů je možné díky službě DigiCert Automation Manager. Do té si přidáte všechny webové servery využívající ACME, propojíte je a můžete je z jednoho místa ovládat. Nastavíte si služby na všechny konfigurovatelné porty a nastavíte jaké certifikáty se na ně mají posílat. O zbytek se postará Manager.
DigiCert Automation Manager umí víc
Platí, že správa pomocí ACME URL je vhodná pro servery, ale nelze ji použít na prvky typu loadbalancer. Tam typicky nastane problém při tzv. challenge a ověření domény - autentizace musí proběhnout přes DNS, nebo přes výchozí metodu HTTP-01 a ověřovací soubor. To je u loadbalancerů problém. Můžete taky narazit na situaci, kdy chcete zabezpečit zařízení, které není vystaveno do internetu. DigiCert Automation Manager však toto umí řešit.
V případě nedostupnosti ACME URL použije jako alternativu REST API. Tzv. senzory nastavíte na jednotlivé zařízení a budou konfigurovány a spravovány ze strany DigiCertu. Stačí vše jednou nastavit a zbytek už bude probíhat automaticky. DigiCert Automation Manager dokáže řešit i případy, na které je ACME URL krátké.
Podporované servery a zařízení
Podporované loadbalancery:
- F5 BIG-IP LTM
- Citrix NetScaler
- A10
- AWS Application Load Balancer
- AWS Network Load Balancer
- AWS CloudFront (CDN)
Podporované webové servery:
- Apache HTTP Server
- Apache Tomcat
- NGINX
- IBM HTTP Server
- Microsoft IIS
Jak DigiCert Automation Manager získat
Nastavení automatizace a integrace do stávajících procesů je individuální záležitost. Kontaktujte nás a pomůžeme vám najít to nejlepší řešení na míru pro vás.
