Las empresas actuales funcionan con aplicacionespero kmantener esas aplicaciones en funcionamiento es un reto constantepor no mencionar la tarea de protegerlas.
Para ofrecer aplicaciones de forma fiable y seguras, redes ahora deben gestionar grandes volúmenes de tráfico de aplicaciones y proteger la infraestructura que las soporta. Ahí es donde los servicios de aplicaciones F5 BIG-IP proporcionan funciones críticas como equilibrio de carga, cifrado y aceleración para garantizar el tiempo de actividad y la seguridad de las aplicaciones.
Si ha desplegado varios dispositivos BIG-IP en su red, sabrá que los certificados SSL desempeñan un papel clave para asegurar y autenticar las comunicaciones, pero también necesita asegurarse de que cada certificado lo es:
- Desplegado e instalado en la ubicación correcta correcta;
- Válido y al día con las políticas de seguridad;
- Emitidos por una fuente de confianza (CA interna o pública); y
- Gestionado en todos los dispositivos F5-BIG a lo largo de su ciclo de vida
Pocas organizaciones disponen de un buen proceso para F5 gestión de certificados. A pesar de las herramientas disponibles (hint: Keyfactor Command), la mayoría de las organizaciones siguen recurriendo por defecto a la gestión mediante hojas de cálculo y métodos manuales para solicitar y renovar certificados.
Retos de la gestión de certificados de F5
Como puede que ya haya experimentado, igestión eficiente de certificados F5 procesos abren suu organización a un mayor riesgo de interrupciones y puntos ciegos de la red. puntos ciegos que resultan de una mal configurados certificados caducados o mal configurados. En realidad se reduce a tres retos.
Visibilidad limitada
Si tiene varios dispositivos F5 F5cada uno con docenas de particiones donde podrían instalarse certificadosse se convierte en realmente difícil obtener visibilidad y seguir el ritmo de las renovaciones. Los administradores de F5 y de la red simplemente no tienen tiempo para iniciar sesión en cada dispositivo F5 para inventariar certificados y todos sus detalles (por ejemplo, caducidad, tamaño de la clave, algoritmo, etc.).algoritmo, etc.) de forma regular.
Procesos manuales
Manualmente solicitar e instalar certificados en múltiples dispositivos y particiones de F5 no sólo lleva mucho tiempo, sino que también es propenso a errores y descuidos. A menudo, los administradores tardan entre 10 y 15 minutos en instalar cada certificado, por no mencionar el tiempo que se tarda en enviar un certificado de firma.ch certificado, por no mencionar el tiempo que se tarda en enviar una solicitud de firma de certificado (CSR) y recuperar el certificado..
Falta de informes
Esto nos lleva al último reto: garantizar que cada certificado cumple los requisitos de seguridad. Los procesos manuales suelen llevar a red de red a utilizar atajos en lugar depor ejemplo emitir autofirmado o certificado comodíns, whEsto les ahorra tiempo, pero también crea riesgos de seguridad y reduce las garantías. garantía garantía.
Para prevenir estos riesgos y evitar retos innecesarios, los equipos de PKI y seguridad deben adoptar un enfoque más automatizado y centralizado. Al combinar centralizada, la aplicación de políticas y aprovisionamiento y renovación automatizados, Keyfactor Command simplifica la gestión de certificados de F5 y le ayuda a evitar tiempos de inactividad inesperados.
Demostración: Gestión de certificados F5
Para obtener más información sobre la importancia de las claves y los certificados en las implementaciones de F5, cómo evitar costosos tiempos de inactividad y cómo Keyfactor permite la gestión automatizada de certificados F5, vea nuestro seminario web de 30 minutos.
Cómo inventariar certificados F5
Para inventariar los certificados, primero deberá crear almacenes de certificados en el Keyfactor Command servidor. En este caso enañadiremos primero el servidor web F5.
Empezaremos creando un contenedor (un grupo de almacenes de certificados), introduciremos el nombre del servidor F5 para conectarnos a través de la APIy proporcionar las credenciales para autenticarse y comunicarse con el servidor. servidor.
Puede introducir el nombre de usuario y la contraseña o cargar las credenciales desde un proveedor PAM como CyberArk o Thycotic.
Introduzca la contraseña, confírmela y guarde la información. Se guardará en un archivo Keyfactor secretos o enen el proveedor PAM, si así lo celija.
A continuación, seleccionaremos el orquestador quedesplegado en su entorno entorno para inventariar y gestionar certificados en dispositivos F5 - en este caso envamos a chooa el orchestrator en este Keyfactor Command servidor - y luego estableceremos de intervalos.le para comprobar el estado del certificado.certificado.
A continuación, seleccionaremos un F5 SSL Perfilque representas una partición específica ques en el F5 appliance. En este casohemos llamadoun F5 común.
Enterne de nuevo la máquina cliente. Las credenciales deLas credenciales se rellenarán automáticamente, puesto que ya las ha introducido. A continuación, introduzca la ruta de almacenamiento, que es la partición concreta a la que te conectarás, así como el orquestador y el intervalo.
Siguiente, vamos a el estado del trabajo del orquestador. Encontrarás encontrará el orquestador trabajos que se han programado y completadas aquí (por ejemplo, descubrimiento, renovación, sustitución, etc.).
Guelve a las ubicaciones de los certificados, almacenes de certificados, y haz clic con el botón derecho del ratón en la partición common y ver el inventario para ver los certificados que se encuentran en el dispositivo F5 dispositivo F5.
Esos certificados están ahora en nuestra base de datos de inventario y se puede interactuar con ellos.
Cómo inscribirse y emitir certificados F5
A continuación, veremos cómo inscribir un certificado a través del portal de autoservicio.
Comience por seleccionar una plantilla de una autoridad de certificación (CA) configurada en la Keyfactor Command plataforma. En este caso, puedes ver que tenemos DigiCert, Entrust, y Microsoft.
Introduzca un nombre común (nombre de dominio del servidor que recibirá el certificado). Los demás campos se populados automáticamente en función de configurado del sistema. También podemos imponer por defecto la introducción de los nombres alternativos de las asignaturas DNS .
Addicional personalizado metadatos también pueden añadirse al certificado (por ejemplo, aplicación, correo electrónico del propietario del certificado, departamento, etc.).
Una vez completado, puede instalar el certificado directamente en el almacén de certificados que haya seleccionado. En este caso, el contenedor F5 Common, que es donde encontrará la partición F5 específica.
Seleccione sobrescribir y utilice el alias (igual que Nombre Común) que permitirá a la persona en el F5 ver esos certificados en la partición.
Ver la inscripción realizada con éxito.
Ahora, compruebe el orquestador y busca el trabajo que fue enviado por Keyfactor Command.
In este caso, puede ver que ha presentado inmediatamente. Cada minuto, el orquestador conectará con Keyfactor Command para buscar y ejecutar trabajos.
Una vez finalizado el trabajo, se moverá de la cola (trabajos programados) al historial de trabajos.
Ahora comprueba el historial de trabajos para ver qué ha pasado. Que trabajo inmediato debería estar completado con éxito.
La siguiente parte no es necesaria, pero para mostrarle que el certificado se ha emitido y aprovisionado a la partición F5, puede iniciar sesión en el dispositivo F5.
Vaya a Sistema > Gestión de Certificados > SSL Lista de Certificados.
A continuación puede ver que el certificado ha sido emitido al dispositivo.
Cómo renovar certificados F5
Para renovar un certificado, haga clic con el botón derecho en el certificado en el portal de administración y haga clic en renovar.
Aquí puede ver que también podemos realizar otras acciones, como revocar el certificado, editar metadatos, eliminaring la clave privada, descargar el certificado, etc.
Usted Puede bien hacer clic en "Continuar" para renovar el certificado desde la misma plantilla Microsoft CA , o bien puede hacer clic en "Configurar" para renovarlo desde una nueva CA, cambiar los metadatos, etc.
Para este ejemplo, lo renovaremos desde una CA de Entrust.
El certificado se instalará en las ubicaciones existentes de F5, tanto si se encontraba en una partición como en varios dispositivos y particiones.
En este caso, elegimosla plantilla estándar de Entrust, que se instala en las ubicaciones existentes, tanto si en una o en cinco ubicaciones.
Una vez que haya enviado la inscripción, se pondrá en contacto con la CA de Entrust, recuperará un nuevo certificado de Entrust e instalarlo en esas ubicaciones.
Una vez completado con éxito, puede comprobar los trabajos del orquestador. Busque el trabajo inmediato que fue introducido.
Actualice la página y see ese trabajo salir de la cola.
Consulte el historial de trabajos, y te hecho, ese trabajo está ahí. Su inmediato y se ha completado con éxito.
De nuevo, este paso no es necesario, pero para mostrar que el certificado está actualizado en el dispositivo BIG-IP, volveremos a Gestión de Certificados > SSL List en el dispositivo F5 BIG-IP.
En este caso, verá que el certificado de Entrust ha sustituido al antiguo certificado de Microsoft y que la renovación/sustitución se ha realizado correctamente.