Udrulning af certifikater
Udrulning dækker hele processen fra certifikatet er hentet hos CA'en til det er installeret og aktivt på endpointet. sslbrain har flere metoder afhængigt af platformen.
Anbefalet metode pr. platform
| Platform | Metode | Bemærkning |
|---|---|---|
| Windows | Service Agent (pull) | Mest stabil, nemmest at vedligeholde, ingen åbne porte |
| Linux | Push via SSH | sslbrain forbinder direkte og kører agenten |
| Appliances | Push via SSH eller API | Afhænger af enheden (SSH for pfSense/ESXi, API for NetScaler/vCenter) |
| Cloud | Push via CLI | AWS CLI, Azure CLI eller gcloud fra sslbrain-hosten |
Se Adgang for detaljeret opsætning af SSH, WinRM, Windows Service og API.
Udrulningsplaner
En udrulningsplan definerer hvordan certifikater rulles ud til flere endpoints. Det er relevant når det samme certifikat (f.eks. et wildcard) bruges på mange servere, eller når du vil koordinere udrulning med vedligeholdelsesvinduer.
Opret en plan
- Gå til certifikatets Deployment-fane
- Klik Opret udrulningsplan
- Tilføj de endpoints der skal inkluderes
- Konfigurér rækkefølge, fejlhåndtering og tidsplan
Rækkefølge
| Mode | Beskrivelse | Typisk brug |
|---|---|---|
| Parallel | Alle endpoints på en gang | Stateless webservere bag en load balancer |
| Sekventiel | En ad gangen i rækkefølge | Servere der skal opdateres en ad gangen for at undgå nedetid |
| En-ad-gangen-med-verificering | Installer på næste endpoint kun hvis forrige lykkedes og bestod verifikation | Kritiske tjenester hvor du vil bekræfte at certifikatet virker før du fortsætter |
Parallel er standard og fungerer godt i de fleste tilfælde. Brug sekventiel eller en-ad-gangen-med-verificering til produktionsmiljøer hvor du vil minimere risiko.
Fejlhåndtering
Bestemmer hvad der sker hvis installation fejler på et endpoint.
| Strategi | Beskrivelse |
|---|---|
| Stop | Stop hele planen ved første fejl. Allerede installerede endpoints beholder det nye certifikat. |
| Fortsæt | Spring det fejlede endpoint over og fortsæt med de næste. |
| Tilbagerul | Stop ved første fejl og fortryd ændringer på alle endpoints der allerede er opdateret. Det gamle certifikat geninstalleres. |
Stop er standard. Tilbagerul anbefales til miljøer hvor alle servere skal have det samme certifikat, f.eks. servere bag en load balancer.
Vedligeholdelsesvinduer
Definer hvornår certifikater må installeres. Udrulningsplanen venter automatisk til det næste ledige vindue.
Eksempler:
Man-fre 02:00-05:00
Deployment kører kun om natten på hverdage
Søn 22:00-06:00
Kun i weekenden
Altid
Ingen begrænsning (standard)
Konfigurér vedligeholdelsesvinduer under Udrulningsplan > Tidsplan. Du kan oprette flere vinduer og tildele dem til forskellige planer.
Bemærk: Hvis et certifikat skal fornyes og vedligeholdelsesvinduet ikke åbner inden for de næste 7 dage, sender sslbrain en advarsel. Sørg for at vinduet er bredt nok til at fornyelser kan nå at køre inden certifikatet udløber.
Automatisk udrulning ved fornyelse
Når et certifikat fornyes, kører den tilknyttede udrulningsplan automatisk. Der er ingen manuel handling nødvendig.
Flowet:
- Certifikatet nærmer sig udløb (30 dage)
- sslbrain fornyer certifikatet via sin interne ACME-klient
- Udrulningsplanen kører automatisk
- Certifikatet installeres på alle endpoints i planen
- sslbrain verificerer at de nye certifikater er aktive
Hvis en udrulning fejler, gælder den konfigurerede fejlhåndtering (stop, fortsæt eller tilbagerul). sslbrain sender en notifikation med detaljer om fejlen.
Hvad du skal verificere
- At udrulningsplanen er tilknyttet certifikatet (under Deployment-fanen)
- At credentials til alle endpoints stadig er gyldige
- At vedligeholdelsesvinduet tillader deployment inden certifikatets udløb
- At notifikationer er konfigureret så du får besked ved fejl
Tip: Når det er sat op, kører certifikatfornyelse og udrulning fuldautomatisk uden indgriben.