SSL-automatisering

ACME på enheder: native eller proxy

Q: Skal jeg åbne DNS API-adgang til min DNS-udbyder?

Nej. Det er hele pointen med FairSSL Auto DNS . Du opretter én permanent CNAME-viderestilling én gang, og FairSSL håndterer alle ACME DNS-01 challenges. Du behøver hverken API-nøgler til din DNS-udbyder eller åbne firewall-porte mod DNS-serveren.

Firewalls, load balancers, mail-gateways og monitoreringsservere kan typisk ikke køre en ACME-klient internt. Vi har lavet opsætningen på FortiGate, FortiMail, FortiWeb, NetScaler, F5 BIG-IP, KEMP og Kubernetes mange gange, og der er kun to mønstre, du skal vælge mellem.

De to mønstre

Indbygget ACME

Apparatet kører selv ACME-klienten

Apparatet taler direkte med FairSSLs ACME-server, henter certifikatet og installerer det i sin egen konfiguration. Kortest mulig kæde, færrest bevægelige dele.

I dag understøttes:

FortiGate fra FortiOS 7.6.3
Kubernetes via cert-manager

Proxy + push

Ekstern host udsteder, deploy-hook overfører

En lille Linux- eller Windows-host kører Lego eller simple-acme. Den udsteder certifikatet via FairSSL Auto DNS, og et deploy-hook uploader det til enheden via dens API.

Bruges på:

FortiGate ældre end 7.6.3, FortiMail, FortiWeb
NetScaler / Citrix ADC
F5 BIG-IP, KEMP LoadMaster
Palo Alto, pfSense, OPNsense, Ubiquiti

Enheder med færdige vejledninger

FortiGate

Native

7.6.3+ med indbygget ACME, ældre versioner via proxy

Indbygget ACME-klient fra FortiOS 7.6.3 med HTTP-01-validering på vilkårlig port. Ældre FortiGate-versioner får certifikatet pushet ind fra en Linux- eller Windows-host.

FortiMail / FortiWeb

Proxy

Proxy + REST API

En Lego- eller simple-acme-host udsteder certifikatet og overfører det via FortiMails eller FortiWebs REST API. Vi har færdige skabeloner til begge.

Citrix NetScaler / ADC

Proxy

Proxy + NITRO API

simple-acme på en Windows-host udsteder certifikatet og deployer det til NetScaler via NITRO REST API. Opdaterer både SSL-certifikat-objektet og de bundne virtuelle servere.

F5 BIG-IP

Proxy

Proxy + iControl REST

Lego på en Linux-host udsteder certifikatet og uploader det til F5 via iControl REST. Erstatter Client SSL-profilens certifikat og nøgle uden manuel binding.

KEMP LoadMaster

Proxy

Proxy + KEMP API

Den indbyggede Let's Encrypt-integration kan ikke pege på FairSSL. Vi bruger en ekstern host med Auto DNS-validering og KEMPs API til at importere og binde certifikatet til virtuelle services.

Kubernetes

Native

Indbygget ACME via cert-manager

cert-manager kører som en ACME-klient i klyngen, opretter en ClusterIssuer mod FairSSL og udsteder TLS Secrets automatisk. Ingen proxy nødvendig.

Sådan virker proxy + push i praksis

1

Vælg en host

En eksisterende Linux- eller Windows-server. Den behøver kun udgående internetadgang og netværksadgang til enhedens management-port.
2

Opret én CNAME-viderestilling for ACME-validering

FairSSL Auto DNS bruger en permanent _acme-challenge.<dit-domæne> CNAME til vores DNS-server. Engangsopsætning. Ingen DNS API-nøgler nødvendige.
3

Kør Lego eller simple-acme med EAB-nøgler

Klienten registrerer kontoen mod FairSSLs ACME-server, udsteder certifikatet og gemmer det lokalt.
4

Deploy-hook overfører certifikatet til enheden

Et bash- eller PowerShell-script kalder enhedens API (iControl, NITRO, FortiOS REST, KEMP API) og opdaterer certifikatet på de relevante virtuelle services.
5

Planlæg klienten dagligt

cron eller Task Scheduler kører klienten en gang i døgnet. ARI styrer hvornår selve fornyelsen sker, og deploy-hooket aktiveres kun ved en faktisk fornyelse.

Færdige eksempelscripts ligger i hver enkelt apparatvejledning ovenfor. Mangler dit apparat på listen? Skriv til info@fairssl.dk og spørg, vi har lavet det før.

Ofte stillede spørgsmål

Find svar på de mest almindelige spørgsmål om SSL certifikater og FairSSL.

Hvilke enheder kan køre ACME direkte?

Kun få. FortiGate fra version 7.6.3 har indbygget ACME-klient. cert-manager til Kubernetes er en indbygget ACME-klient i klyngen. Alt andet (NetScaler, F5, KEMP, FortiMail, FortiWeb, PRTG, Palo Alto, pfSense, OPNsense) kræver en ekstern host der udsteder certifikatet og overfører det via API eller SSH.

Hvad er proxy-tilgangen?

Du kører en ACME-klient som Lego eller simple-acme på en eksisterende Linux- eller Windows-server. Klienten udsteder certifikatet via FairSSL Auto DNS-validering. Et deploy-hook eller post-renewal-script uploader derefter certifikatet til enheden via dens API. Apparatet ser aldrig ACME-challengen.

Hvordan virker det med KEMP LoadMaster?

KEMP har en indbygget "Let's Encrypt"-integration der peger fast på Let's Encrypts produktionsserver, og den kan ikke skiftes til FairSSLs ACME-server. Vi anbefaler proxy-tilgangen: udsted certifikatet på en Linux/Windows-host med Auto DNS-validering, og brug KEMPs API til at importere certifikatet og opdatere de virtuelle services.

Skal jeg åbne DNS API-adgang til min DNS-udbyder?

Nej. Det er hele pointen med FairSSL Auto DNS. Du opretter én permanent CNAME-viderestilling én gang, og FairSSL håndterer alle ACME DNS-01 challenges. Du behøver hverken API-nøgler til din DNS-udbyder eller åbne firewall-porte mod DNS-serveren.

Understøttes ARI på enheder?

Ja, gennem den eksterne ACME-klient. ARI (RFC 9773) er en egenskab ved klienten, ikke ved enheden. Både Lego (v5+) og simple-acme understøtter ARI, og FairSSLs ACME-server udstiller ARI-endpoints. Hvis FairSSL skal udskifte certifikatet, fornyer din klient det automatisk inden for det vindue ARI angiver.

Kan I hjælpe med opsætningen?

Ja. Bestil installationsservice i kontrolpanelet, så hjælper en FairSSL-tekniker med at få proxy-scriptet på plads. Vi har lavet opsætningen på FortiGate, FortiMail, NetScaler, F5, KEMP og en lang række andre apparater før.

Klar til at automatisere certifikater på dine apparater?

Opret en gratis konto og udsted dit første certifikat på under 10 minutter.

Opret gratis konto Sammenlign certifikater