sslbrain vs. ACME-kommandolinjeværktøjer
Den virkelige konkurrent til sslbrain er ikke Certbot. Det er det bash-script og Excel-ark din organisation allerede bruger. Certbot, win-acme og lego er fremragende open source-værktøjer. sslbrain bruger dem internt som agenter.
Byggesten, ikke konkurrenter
sslbrain håndterer ACME-protokollen mod CA'en, så servere og netværksudstyr får deres certifikater installeret uden selv at skulle tale med en CA.
Forskellen er arkitekturen, ikke protokollen. ACME-klienter installeres individuelt per server: et cron job eller en planlagt opgave, der fornyer certifikater lokalt. Det fungerer fint for en enkelt server. Men for 10, 50 eller 200 servere har du 10, 50 eller 200 uafhængige fornyelsesprocesser at holde styr på. sslbrain samler det i et centralt dashboard med fælles audit log, krypteret nøglehåndtering og overblik over hele infrastrukturen.
ACME-klient per server
- Installeres direkte på hver server
- Fornyer via lokal cron/planlagt opgave
- Serveren styrer sin egen certifikatlivscyklus
- Ingen central afhængighed
- Godt for: 1-5 servere med samme OS
sslbrain (centraliseret)
- Docker-container kører centralt
- Agenter deployes til alle servere
- En planlægger styrer alle fornyelser
- Fælles audit log, vault, notifikationer
- Godt for: blandet infrastruktur, compliance-krav
Ingen af tilgangene er forkert. Valget afhænger af, hvor mange servere du administrerer, hvor blandet din infrastruktur er, og om du har brug for centralt overblik.
Funktionssammenligning
| Funktion | sslbrain | Certbot | win-acme / simple-acme | lego |
|---|---|---|---|---|
| Central styring | Ja, web-baseret UI | Nej | Nej | Nej |
| Multi-server installation | Automatiseret flådestyring | Manuel per server | Manuel per server | Manuel per server |
| Certifikatopdagelse | Netværksdækkende scanning | Nej | Nej | Nej |
| Audit trail | Fuld RBAC + audit log | Lokal log per server | Lokal log per server | Lokal log per server |
| DNS-validering | Auto-DNS og/eller DNS API | DNS-plugins per udbyder | DNS-plugins per udbyder | 100+ DNS-udbydere |
| Platformsunderstøttelse | Alle via agenter (inkl. firewalls, load balancers) | Linux/macOS/Windows | Windows | Linux/macOS/Windows |
| Fornyelse | Centraliseret, automatisk | Cron job per server | Planlagt opgave | Cron job |
| Opsætning | Central installation, derefter servere via plan | Per server: klient, validering, fornyelseshook, evt. firewall | Per server: klient, validering, fornyelseshook, evt. firewall | Per server: klient, validering, fornyelseshook, evt. firewall |
| Server- og DNS-credentials | SSH, REST, WinRM og DNS API-credentials i krypteret vault, beskyttet af cloud-nøgle | DNS API-nøgler i klartekst på hver server | Adgangskoder i klartekst på hver server | API-nøgler i klartekst på hver server |
| NIS2-dokumentation | Central audit log, RBAC, evidens-eksport | Per-server log, ingen central politik. DNS- eller SSH-credentials på hver server. | Per-server log, ingen central politik. DNS- eller admin-credentials på hver server. | Per-server log, ingen central politik. DNS- eller SSH-credentials på hver server. |
| 47-dages certifikater | Central planlægger fornyer i puljer og prøver igen ved fejl | 12 fornyelser per certifikat om året, hver server fornyer alene | 12 fornyelser per certifikat om året, hver server fornyer alene | 12 fornyelser per certifikat om året, hver server fornyer alene |
Central styring
Multi-server installation
Certifikatopdagelse
Audit trail
DNS-validering
Platformsunderstøttelse
Fornyelse
Opsætning
Vælg det rigtige værktøj
Brug Certbot eller lego hvis:
- Du har 1-5 servere med samme OS
- Du allerede administrerer dem via SSH/Ansible
- Du kører Kubernetes eller ephemeral containers (brug cert-manager)
- Du ikke har brug for centralt overblik eller audit trail
Brug win-acme eller simple-acme hvis:
- Du har en eller få Windows-servere med IIS
- Du vil have en planlagt opgave der fornyer automatisk
- Du har brug for interaktiv opsætning med guidet wizard
- Du ikke har brug for centralt overblik eller audit trail
Brug sslbrain hvis:
- Du har blandet infrastruktur (Linux, Windows, firewalls)
- Du vil have et samlet overblik over alle certifikater
- Du har brug for audit trail og RBAC
- Du vil have kommercielle CA'er (OV, EV) og ACME fra samme dashboard
- Du vil have SSH-, REST-, WinRM- og DNS API-credentials i en central krypteret vault, ikke i klartekst på hver server
- Du installerer på Kemp, NetScaler, Cisco FDM, FortiGate, Exchange edge i DMZ, Microsoft WAP, Tomcat eller Navision
47-dages certifikater fra 2029
2029 bringer 47-dages certifikater. Fornyet ved 1/3 resterende levetid (best practice) er det 12 udstedelser og installationer per certifikat om året.
Credentials i klartekst
SSH-, REST-, WinRM- og DNS API-credentials ligger ofte i klartekst i konfigurationsfiler uden review eller adgangsstyring. sslbrain samler dem i en krypteret vault, beskyttet af en cloud-nøgle.
Når SSL-kollegaen stopper
Scripts der er skrevet af en person og ikke dokumenteret er en driftsrisiko. sslbrain er en driftsapplikation med overblik og historik.
Alle tre tilgange løser certifikatautomatisering. For en enkelt server er en ACME-klient det simpleste valg. sslbrain tilføjer værdi når du har flere servere, blandet infrastruktur eller compliance-krav. Det ene udelukker ikke det andet: sslbrain bruger de samme ACME-klienter internt.
Prøv sslbrain
Start gratis med op til 5 servere. Ingen kreditkort påkrævet.