Agents

En agent i sslbrain er et sæt scripts, der automatiserer installationen af et certifikat på en given platform. Når sslbrain deployer et certifikat til en server, er det en agent der udfører selve arbejdet: importerer certifikatet, konfigurerer webserveren og genstarter services efter behov.

Indbyggede agenter

sslbrain leveres med agenter til de mest udbredte platforme. Alle indbyggede agenter vedligeholdes af FairSSL og testes mod hver nye version af sslbrain før udgivelse.

36 agentpakker. Kataloget matcher de 36 agentpakker i sslbrain-agents og opdateres herfra på tværs af websitet.

Windows og Microsoft

16 agentpakker

PowerShell-baserede agenter til Windows Server, IIS, Exchange, SQL Server og Microsoft-infrastruktur.

Agent	Platform	Pakke	Type	Beskrivelse
Windows IIS 8+	IIS 8.0+ på Windows Server 2012+	`iis8plus`	FairSSL	Installerer og binder certifikater på IIS-websites.
IIS Web Server	IIS-sites og bindings	`windows-iis`	FairSSL	Finder IIS-sites og styrer certifikatdeployment til webbindings.
IIS Central Certificate Store	IIS Central Certificate Store	`windows-ccs`	FairSSL	Deployer PFX-filer til CCS med hostnavn-baseret filnavngivning.
Microsoft Exchange 2013-2019	Exchange Server 2013, 2016 og 2019	`exchange2013-2019`	FairSSL	Erstatter certifikater på mail- og Client Access-services.
Microsoft Exchange	Exchange Server certifikater og services	`windows-exchange`	FairSSL	Finder Exchange-certifikater og styrer certifikatinstallation til Exchange-services.
Windows SQL Server	Microsoft SQL Server	`windows-sql`	FairSSL	Tilknytter certifikater til SQL Server-instanser og validerer TLS.
Windows ADFS	Active Directory Federation Services	`windows-adfs`	FairSSL	Roterer ADFS service communications- og SSL-certifikater.
Windows Certificate Authority	Active Directory Certificate Services	`windows-ca`	FairSSL	Opdaterer AD CS-certifikater med verifikation og rollback.
Web Application Proxy	Microsoft Web Application Proxy	`windows-wap`	FairSSL	Roterer WAP-certifikater globalt eller pr. applikation.
Windows Remote Desktop	Remote Desktop Services	`windows-rdp`	FairSSL	Sikrer at RDP-endpoints bruger de rigtige certifikater.
Windows SSL/TLS Bindings	HTTP.sys og netsh-bindings	`windows-netsh`	FairSSL	Styrer SSL/TLS-bindings for services der bruger HTTP.sys uden IIS.
Windows Certificate Store	Windows Local Machine certificate store	`windows-cert-install`	FairSSL	Installerer PFX-certifikater i Windows Certificate Store.
Windows Server	Generel Windows Server-inventar	`windows-os`	FairSSL	Finder certifikater i Windows og håndterer generel PFX-deployment.
Dynamics NAV / Business Central	Microsoft Dynamics NAV og Business Central	`navbc-windows`	FairSSL	Administrerer TLS-bindings for NAV/BC-serviceinstanser.
Milestone XProtect	Milestone XProtect på Windows	`windows-milestone`	FairSSL	Roterer certifikater for Milestone XProtect-installationer.
Veeam Backup & Replication	Veeam Backup & Replication	`windows-veeam`	FairSSL	Styrer certifikatdeployment til Veeam Backup & Replication.

Linux og services

7 agentpakker

SSH-baserede agenter til webservere, mail, databaser og Linux ACME-workflows.

Agent	Platform	Pakke	Type	Beskrivelse
Nginx	Nginx via SSH	`nginx-ssh`	FairSSL	Finder server blocks, deployer certifikater og validerer reload.
Apache	Apache 2.4+ via SSH	`apache-ssh`	FairSSL	Håndterer VirtualHost-discovery, certifikatfiler og service reload.
HAProxy	HAProxy via SSH	`haproxy-ssh`	FairSSL	Bygger PEM-bundles og genindlæser HAProxy efter validering.
Apache Tomcat	Tomcat via SSH	`tomcat-ssh`	FairSSL	Opdaterer PKCS12/JKS keystores og genstarter relevante services.
Postfix	Postfix SMTP via SSH	`postfix-ssh`	FairSSL	Deployer SMTP-certifikater og validerer Postfix-konfiguration.
Dovecot	Dovecot IMAP/POP via SSH	`dovecot-ssh`	FairSSL	Opdaterer Dovecot TLS-konfiguration med rollback-mulighed.
PostgreSQL	PostgreSQL via SSH	`postgresql-ssh`	FairSSL	Installerer TLS-certifikater med korrekt ejerskab og sti-håndtering.

Cloud certificate stores

3 agentpakker

CLI/API-baserede agenter til certifikater i cloud-platforme.

Agent	Platform	Pakke	Type	Beskrivelse
AWS Certificate Manager	AWS ACM via AWS CLI	`aws-acm-api`	FairSSL	Importerer og overvåger certifikater i AWS Certificate Manager.
Azure Key Vault	Azure Key Vault via Azure CLI	`azure-keyvault-api`	FairSSL	Administrerer certifikater i Key Vault med Azure CLI.
Google Cloud Certificate Manager	Google Cloud Certificate Manager via gcloud CLI	`gcloud-certmanager-api`	FairSSL	Automatiserer certifikatopdateringer i Google Cloud Certificate Manager.

Appliances, netværk og virtualisering

8 agentpakker

Agenter til load balancere, firewalls, storage, NAS og VMware-miljøer.

Agent	Platform	Pakke	Type	Beskrivelse
Citrix NetScaler / ADC	NetScaler / ADC via NITRO API	`netscaler-api`	FairSSL	Opdaterer cert/key-par og vserver-bindings.
Cisco Secure Firewall Device Manager	Cisco Secure Firewall Threat Defense via FDM API	`cisco-fdm-api`	FairSSL	Finder certifikat-inventar og binding-flader på FDM-styrede Cisco firewalls.
Kemp LoadMaster	Kemp LoadMaster via REST API v2	`kemp-loadmaster`	FairSSL	Administrerer certifikater på Kemp LoadMaster-load balancere.
pfSense	pfSense via SSH	`pfsense-ssh`	Community	Erstatter firewall- og webGUI-certifikater på pfSense.
Synology DSM	Synology DSM via Web API	`synology-dsm-api`	FairSSL	Administrerer NAS-certifikater via DSM API.
NetApp ONTAP	ONTAP via REST API	`netapp-ontap-api`	FairSSL	Roterer certifikater på NetApp ONTAP-clusters.
VMware vCenter	vCenter Server via REST API	`vmware-vcenter-api`	FairSSL	Erstatter vCenter management-certifikater.
VMware ESXi	Standalone ESXi-hosts via SSH	`vmware-esxi-ssh`	FairSSL	Opdaterer host-certifikater på standalone ESXi-hypervisors.

Custom agenter

2 agentpakker

Templates til egne Linux- og Windows-platforme.

Agent	Platform	Pakke	Type	Beskrivelse
Custom Linux Certificate Deployment	Vilkårlige Linux-services	`custom-linux`	Community	Template til filbaseret deployment på egne Linux-services.
Custom Windows Certificate Deployment	Vilkårlige Windows-services	`custom-windows`	Community	Template til certifikat-store eller filbaseret deployment på Windows.

Community-agenter

Community-agenter er skrevet af brugere og delt med alle sslbrain-installationer. Hver community-agent er:

Indsendt af en bruger
Gennemgået af FairSSL for sikkerhed og kvalitet
Signeret med FairSSLs ECDSA P-384-nøgle
Gjort tilgængelig for alle sslbrain-installationer

Community-agenter understøtter platforme, der ikke findes blandt de indbyggede agenter, f.eks. Postfix, HAProxy, Tomcat, Synology eller specifikke cloud-tjenester.

Du finder community-agenter i sslbrain under Agents > Community. Installér dem med ét klik.

Del en community agent

Har du udviklet en agent, der kan gavne andre? Så kan du dele den med fællesskabet:

Åbn din brugerdefinerede agent i sslbrain
Klik Del med community
Agenten sendes til FairSSL til gennemgang

Når agenten er godkendt og signeret, bliver den tilgængelig for alle sslbrain-installationer via Agents > Community.

Tip: Vi kontakter dig, hvis vi har spørgsmål eller forbedringsforslag under gennemgangen.

Brugerdefinerede agenter

Har du en platform der hverken er understøttet af de indbyggede eller community-agenter, kan du bygge din egen.

En brugerdefineret agent består af en YAML-definition og scripts i Bash, PowerShell eller Python. Se eksemplet nedenfor.

Agent YAML-format

En agent er defineret i en agent.yml-fil. Her ses et simpelt eksempel på kopiering af certifikat og nøgle til en server efterfulgt af genstart af en service:

agent.yml

name: my-custom-agent
description: Installerer certifikat for min applikation
platform: linux

steps:
  - name: Kopiér certifikat
    action: write_file
    path: /etc/myapp/tls/cert.pem
    content: "{{ certificate_pem }}"
    mode: "0644"

  - name: Kopiér privat nøgle
    action: write_file
    path: /etc/myapp/tls/key.pem
    content: "{{ private_key_pem }}"
    mode: "0600"

  - name: Genstart applikation
    action: run_command
    command: systemctl restart myapp

verify:
  - name: Tjek TLS-forbindelse
    action: tls_check
    host: localhost
    port: 443

Variabler som {{ certificate_pem }} og {{ private_key_pem }} erstattes automatisk af sslbrain under deployment.

Tilgængelige variabler

sslbrain injicerer variabler som miljøvariabler i agent-scripts. Hvilke certifikatvariabler der er tilgængelige afhænger af agentens konfigurerede format.

Standard

Variabel	Indhold
HOSTNAME	Serverens hostname
CREDENTIAL_USER	Brugernavn til forbindelsen
CREDENTIAL_SECRET	Adgangskode eller nøgle til forbindelsen

PEM-format

Variabel	Indhold
CERT_PEM	Certifikatet i PEM-format
KEY_PEM	Den private nøgle i PEM-format
CHAIN_PEM	Certifikatkæden (intermediate CA) i PEM-format

PFX-format

Variabel	Indhold
PFX_BASE64	PFX-filen som base64
PFX_FILE_PATH	Sti til PFX-fil på RAM-disk
PFX_PASSWORD	Adgangskode til PFX-filen
PFX_ENCRYPTION	modern (AES-256-CBC) eller legacy (3DES)

JKS-format

Variabel	Indhold
JKS_FILE_PATH	Sti til JKS keystore-fil
JKS_PASSWORD	Keystore-adgangskode

Derudover kan du definere egne variabler på global-, server-, endpoint- eller plan-niveau i sslbrain. De injiceres automatisk sammen med standardvariablerne.

Tilgængelige handlinger

Handling	Beskrivelse
write_file	Skriver indhold til en fil med angivne rettigheder
run_command	Kører en kommando på serveren
tls_check	Verificerer TLS-forbindelse til host:port

Brugerdefinerede agenter uploades til sslbrain under Agents > Custom.

Kodesignering

Sikkerhed er altafgørende for agenter, da de eksekveres med administrative rettigheder på dine servere.

Alle agenter er signeret, uanset om de er indbyggede, community eller custom:

Aspekt	Detalje
Signaturformat	ECDSA P-384 pr. fil
Signeringsproces	Fysisk aktivering af en YubiKey er påkrævet for hver signering. Dette udelukker automatisk batch-signering.
Verifikation	sslbrain-serveren og Windows Service Agent verificerer signaturen inden eksekvering. Ugyldige signaturer afvises.

Bemærk: Når FairSSL signerer en agent, betyder det, at koden er manuelt gennemset og fysisk godkendt af en medarbejder. Dette trin kan ikke omgås.

Egne agenter signeres med din installations lokale nøgle og kan kun køre på servere tilsluttet din sslbrain.