SSL-automatisering

ACME på enheter: nativ eller proxy

Q: Behöver jag öppna DNS API-åtkomst till min DNS-leverantör?

Nej. Det är hela poängen med FairSSL Auto DNS . Du skapar en permanent CNAME-vidarekoppling en gång, och FairSSL hanterar alla ACME DNS-01-utmaningar. Du behöver varken API-nycklar till din DNS-leverantör eller öppna brandväggsportar mot DNS-servern.

Brandväggar, lastbalanserare, e-postgateways och övervakningsservrar kan oftast inte köra en ACME-klient internt. Vi har gjort uppsättningen på FortiGate, FortiMail, FortiWeb, NetScaler, F5 BIG-IP, KEMP och Kubernetes många gånger, och det finns bara två mönster att välja mellan.

De två mönstren

Inbyggd ACME

Apparaten kör själv ACME-klienten

Apparaten pratar direkt med FairSSLs ACME-server, hämtar certifikatet och installerar det i sin egen konfiguration. Kortast möjlig kedja, minst antal rörliga delar.

Stöds i dag av:

FortiGate från FortiOS 7.6.3
Kubernetes via cert-manager

Proxy + push

Extern värd utfärdar, deploy-hook pushar

En liten Linux- eller Windows-värd kör Lego eller simple-acme. Den utfärdar certifikatet via FairSSL Auto DNS, och ett deploy-hook laddar upp det till enheten via dess API.

Används för:

FortiGate äldre än 7.6.3, FortiMail, FortiWeb
NetScaler / Citrix ADC
F5 BIG-IP, KEMP LoadMaster
Palo Alto, pfSense, OPNsense, Ubiquiti

Enheter med färdiga guider

FortiGate

Nativ

7.6.3+ med inbyggd ACME, äldre versioner via proxy

Inbyggd ACME-klient från FortiOS 7.6.3 med HTTP-01-validering på godtycklig port. Äldre FortiGate-versioner får certifikatet pushat från en Linux- eller Windows-värd.

FortiMail / FortiWeb

Proxy

Proxy + REST API

En Lego- eller simple-acme-värd utfärdar certifikatet och överför det via FortiMail:s eller FortiWeb:s REST API. Vi har färdiga skriptmallar för båda.

Citrix NetScaler / ADC

Proxy

Proxy + NITRO API

simple-acme på en Windows-värd utfärdar certifikatet och distribuerar det till NetScaler via NITRO REST API. Uppdaterar både SSL-certifikat-objektet och de bundna virtuella servrarna.

F5 BIG-IP

Proxy

Proxy + iControl REST

Lego på en Linux-värd utfärdar certifikatet och laddar upp det till F5 via iControl REST. Byter ut Client SSL-profilens certifikat och nyckel utan manuell bindning.

KEMP LoadMaster

Proxy

Proxy + KEMP API

Den inbyggda Let's Encrypt-integrationen kan inte peka på FairSSL. Vi använder en extern värd med Auto DNS-validering och KEMPs API för att importera och binda certifikatet till virtuella tjänster.

Kubernetes

Nativ

Inbyggd ACME via cert-manager

cert-manager körs som ACME-klient i klustret, skapar en ClusterIssuer mot FairSSL och utfärdar TLS Secrets automatiskt. Ingen proxy behövs.

Så fungerar proxy + push i praktiken

1

Välj en värd

En befintlig Linux- eller Windows-server. Den behöver bara utgående internetåtkomst och nätverksåtkomst till enhetens management-port.
2

Skapa en CNAME-vidarekoppling för ACME-validering

FairSSL Auto DNS använder en permanent _acme-challenge.<din-domän> CNAME mot vår DNS-server. Engångsuppsättning. Inga DNS API-nycklar behövs.
3

Kör Lego eller simple-acme med EAB-nycklar

Klienten registrerar kontot mot FairSSLs ACME-server, utfärdar certifikatet och sparar det lokalt.
4

Deploy-hook överför certifikatet till enheten

Ett bash- eller PowerShell-skript anropar enhetens API (iControl, NITRO, FortiOS REST, KEMP API) och uppdaterar certifikatet på de relevanta virtuella tjänsterna.
5

Schemalägg klienten dagligen

cron eller Task Scheduler kör klienten en gång per dygn. ARI styr när själva förnyelsen sker, och deploy-hooket körs bara vid en faktisk förnyelse.

Färdiga exempelskript ligger i respektive apparatguide ovan. Saknas din apparat på listan? Skriv till info@fairssl.se och fråga, vi har gjort det förut.

Vanliga frågor

Hitta svar på de vanligaste frågorna om SSL-certifikat och FairSSL.

Vilka enheter kan köra ACME direkt?

Få av dem. FortiGate har inbyggd ACME-klient från och med FortiOS 7.6.3. cert-manager för Kubernetes är en inbyggd ACME-klient i klustret. Allt annat (NetScaler, F5, KEMP, FortiMail, FortiWeb, PRTG, Palo Alto, pfSense, OPNsense) kräver en extern värd som utfärdar certifikatet och överför det via API eller SSH.

Vad innebär proxy-metoden?

Du kör en ACME-klient som Lego eller simple-acme på en befintlig Linux- eller Windows-server. Klienten utfärdar certifikatet via FairSSL Auto DNS-validering, och ett deploy-hook eller post-renewal-skript laddar upp det till enheten via dess API. Apparaten ser aldrig ACME-utmaningen.

Hur fungerar det med KEMP LoadMaster?

KEMP har en inbyggd "Let's Encrypt"-integration som pekar fast på Let's Encrypts produktionsserver, och den kan inte konfigureras om till FairSSLs ACME-server. Vi rekommenderar proxy-metoden: utfärda certifikatet på en Linux- eller Windows-värd med Auto DNS-validering, och använd KEMPs API för att importera certifikatet och uppdatera de virtuella tjänsterna.

Behöver jag öppna DNS API-åtkomst till min DNS-leverantör?

Nej. Det är hela poängen med FairSSL Auto DNS. Du skapar en permanent CNAME-vidarekoppling en gång, och FairSSL hanterar alla ACME DNS-01-utmaningar. Du behöver varken API-nycklar till din DNS-leverantör eller öppna brandväggsportar mot DNS-servern.

Stöds ARI på enheter?

Ja, via den externa ACME-klienten. ARI (RFC 9773) är en egenskap hos klienten, inte hos enheten. Både Lego (v5+) och simple-acme stöder ARI, och FairSSLs ACME-server exponerar ARI-endpoints. Om FairSSL behöver byta ut certifikatet förnyar din klient det automatiskt inom det fönster ARI anger.

Kan ni hjälpa till med uppsättningen?

Ja. Beställ installationstjänst i kontrollpanelen, så hjälper en FairSSL-tekniker till att få proxy-skriptet på plats. Vi har gjort uppsättningen på FortiGate, FortiMail, NetScaler, F5, KEMP och många andra apparater tidigare.

Redo att automatisera certifikat på dina apparater?

Skapa ett gratis konto och utfärda ditt första certifikat på under 10 minuter.

Skapa gratis konto Jämför certifikat