Aujourd'hui, les entreprises utilisent des applicationsmais kérer ces applications est un défi permanent, sans parler de leur sécurisation.sans parler de leur sécurisation.
Fournir des applications de manière fiable et sécurisées, réseaux doivent doivent désormais gérer d'importants volumes de trafic d'applications et sécuriser l'infrastructure qui les sous-tend. d'applications et sécuriser l'infrastructure qui les supporte. C'est là que les services applicatifs F5 BIG-IP fournissent des fonctions critiques telles que l'équilibrage de charge, le chiffrement et l'accélération pour garantir la disponibilité et la sécurité des applications.
Si vous avez déployé plusieurs appliances BIG-IP dans votre réseau, vous savez que les certificats SSL jouent un rôle clé dans la sécurisation et l'authentification des communications. vous devez également vous assurer que chaque certificat est.. :
- Déployé et installé au bon endroit l'emplacement correct ;
- Valider et mettre à jour les politiques de sécurité ;
- émis par une source fiable (AC interne ou publique) ; et
- Géré sur l'ensemble des F5-BIG tout au long de son cycle de vie
Peu d'organisations ont mis en place un processus efficace pour F5 gestion des certificats. Malgré les outils disponibles (hint : Keyfactor Command), la plupart des organisations continuent de gérer les demandes et les renouvellements de certificats à l'aide de feuilles de calcul et de méthodes manuelles.
Défis de la gestion des certificats F5
Comme vous l'avez peut-être déjà constaté, une gestion ies processus efficaces de gestion des certificats F5 des certificats de gestion des certificatsvotre organisation risque accru de pannes perturbatrices et d'angles morts du réseau. réseau qui résultent de l'expiration ou de la mal configurés certificats. Il s'agit en fait de trois défis à relever.
Visibilité limitée
Si vous vous avez plusieurs appareils F5 applianceschacune avec des douzaines de partitions où des certificats pourraient être installésil devient vraiment difficile d'avoir une visibilité et de suivre le rythme des renouvellements. Les administrateurs F5 et réseau n'ont tout simplement pas le temps de se connecter à chaque appareil F5 pour faire l'inventaire des certificats et de l'ensemble des certificats. tous certificats et tous leurs détails (c'est-à-dire l'expiration, la taille de la clé, l'algorithme, etc.ithme, etc.) ) sur une base régulière.
Processus manuels
Manuellement demande et l'installation de certificats dans multiples dispositifs et partitions F5 ne prend pas seulement du temps, elle est aussi sujette aux erreurs et à la négligence. Il faut souvent 10 à 15 minutes aux administrateurs pour déployer chaque certificat, sans compter le temps nécessaire à la soumission d'une demande de certificat.sans parler du temps nécessaire pour soumettre une demande de signature de certificat (CSR) et récupérer le certificat..
Absence de rapports
Cela nous amène au dernier défi : s'assurer que chaque certificat est conforme aux exigences de sécurité. Les processus manuels conduisent souvent les réseau réseau à utiliser raccourcis à la placecomme émettre auto-signé ou certificat jokers, whde temps, mais cela crée aussi des risques de sécurité et diminue l'assurance de la qualité. d'assurance d'assurance.
Pour prévenir ces risques et éviter les problèmes inutiles, PKI et les équipes de sécurité doivent adopter une approche plus automatisée et centralisée. En combinant une visibilité centralisée de visibilité, l'application des politiques et l'application des politiques, le provisionnement et le renouvellement automatisés, Keyfactor Command Cette solution simplifie la gestion des certificats F5 et vous permet d'éviter les temps d'arrêt imprévus.
Démo : Gestion des certificats F5
Pour en savoir plus sur l'importance des clés et des certificats dans les déploiements F5, sur la façon d'éviter les temps d'arrêt coûteux et sur la façon dont la solution Keyfactor permet une gestion automatisée des certificats F5, regardez notre webinaire de 30 minutes à la demande de 30 minutes.
Comment inventorier les certificats F5
Pour inventorier les certificats, vous devez d'abord créer des magasins de certificats sur le Keyfactor Command serveur. Dans ce Dans ce cas nousajouterons d'abord le serveur web F5.
Nous commencerons par créer un conteneur (un groupe de magasins de certificats), saisir le nom du serveur F5 afin de se connecter via l'APIet fournir les informations d'identification pour s'authentifier et communiquer avec le serveur.
Vous pouvez soit saisir le nom d'utilisateur et le mot de passe, soit charger les informations d'identification à partir d'un fournisseur PAM tel que CyberArk ou Thycotic.
Saisissez le mot de passe, confirmez et enregistrez les informations. Ces informations seront stockées dans un Keyfactor secrets ou dans le fournisseur PAM, au cas où vous auriez besoin d'un mot de passe.dans le fournisseur PAM, si vous le souhaitez.choisir.
Ensuite, nous allons sélectionner l'orchestrateur que vousavez déployé dans votre environnement pour inventorier et gérer les certificats sur les équipements F5 - dans ce cas, nousnous choisiros'agit de l'orchestrateur sur ce Keyfactor Command serveur - et puis nous un calendrier d'intervallesle pour vérifier l'état du certificat.ore.
Nous sélectionnerons ensuite une F5 SSL Profilqui représente less une partition spécifique quis sur la F5 appliance. Dans ce cas, nousavons appeléun F5 commun.
Enterrompre à nouveau la machine cliente. LesLes informations d'identification s'affichent automatiquement puisque vous les avez déjà saisies. Vous devez ensuite saisir le chemin d'accès au magasin, qui est la partition partition particulière à laquelle vous vous connecterez, ainsi que l'orchestrateur et l'intervalle.
Suivant, nous l'état de la tâche de l'orchestrateur. Vous trouverez trouverez l'état orchestrateur de l'orchestrateur qui ont été planifiés et terminés ici (découverte, renouvellement, remplacement, etc.).
Gonnez aux emplacements des certificats, aux magasins de certificats, et cliquez avec le bouton droit de la souris sur la partition commune et affichez l'inventaire.n et affichez l'inventaire pour pour voir les certificats qui se trouvent sur le périphérique F5 .
Ces Ces certificats figurent désormais dans notre base de données d'inventaire et et peuvent être avec.
Comment inscrire et émettre des certificats F5
Ensuite, nous verrons comment inscrire un certificat via le portail en libre-service.
Commencez par sélectionner un d'une autorité de certification (AC) configurée dans la plate-forme. Keyfactor Command plateforme. Dans ce cas, vous pouvez voir que nous avons DigiCert, Entrust et Microsoft.
Entrez un nom commun (nom de domaine du serveur qui recevra le certificat). Les autres champs seront automatiquement populé sur la base de notre configurés configurés. Nous pouvons également imposer par défaut la saisie des noms alternatifs du sujet DNS .
Aes métadonnées personnalisées supplémentaires métadonnées peuvent également être ajoutées au certificat (par exemple, l'application, l'adresse électronique du propriétaire du certificat, le service, etc.)
Une fois terminé, vous pouvez installer le certificat directement dans le magasin de certificats que vous avez sélectionné. Dans ce cas, il s'agit du conteneur F5 Common, dans lequel vous trouverez la partition F5 spécifique.
Sélectionnez overwrite et utilisez l'alias (identique à Common Name) qui permettra à la personne sur le F5 de voir ces certificats dans la partition.
Voir l'inscription réussie.
Maintenant, vérifiez l'orchestrateur et recherchez le travail qui a été soumis par Keyfactor Command.
Ians ce cas, vous pouvez voir qu'il a été immédiatement soumis. a été immédiatement soumis. Toutes les minutes, l'orchestrateur se connecte à Keyfactor Command pour vérifier la présence de travaux et les exécuter.
Une fois le travail terminé, il sera déplacé de la file d'attente (travaux programmés) vers l'historique des travaux.
Vérifiez maintenant l'historique du travail pour voir ce qui s'est passé. Ce travail travail immédiat devrait être terminé avec succès.
La partie suivante n'est pas nécessaire, mais pour vous montrer que le certificat a été émis et fourni à la partition F5, vous pouvez vous connecter à l'appareil F5.
Allez dans Système > Gestion des certificats > SSL Liste des certificats.
Vous pouvez voir ci-dessous que le certificat a été délivré à l'appareil.
Comment renouveler les certificats F5
Pour renouveler un certificat, cliquez avec le bouton droit de la souris sur le certificat dans le portail d'administration et cliquez sur Renouveler.
Vous pouvez voir ici que nous pouvons également effectuer d'autres actions, telles que révoquer le certificat modifier les métadonnées, supprimersupprimer la clé privée, télécharger le certificat, etc.
Vous pouvez Vous pouvez soit cliquer sur "Continuer" pour renouveler le certificat à partir du même modèle Microsoft CA , soit cliquer sur "Configurer" pour le renouveler à partir d'une nouvelle autorité de certification, modifier les métadonnées, etc.
Pour cet exemple, nous le renouvellerons à partir d'une autorité de certification Entrust.
Le certificat sera installé dans les emplacements F5 existants, qu'il soit situé sur une partition ou sur plusieurs appareils et partitions.
Dans ce cas, nous avons choisile modèle standard Entrust, qui l'installe sur les sites existants, qu'il s'agisse d'un ou de cinq sites. que ce soit sur un ou cinq sites.
Une fois que vous avez soumis l'inscription, l'AC Entrust est contactée, un nouveau certificat est récupéré auprès de l'AC Entrust.trust, et et l'installera dans ces emplacements.
Une fois terminé avec succès, vous pouvez vérifier les travaux de l'orchestrateur. Trouvez le travail immédiat qui a été saisi.
Rafraîchir la page et svoir ce travail sortir de la file d'attente.
Vérifier l'historique de l'emploi, ete travail existe bel et bien. Il est immédiat et il a été mené à bien.
Encore une fois, cette étape n'est pas nécessaire, mais pour montrer que le certificat est mis à jour sur l'appareil BIG-IP, nous allons retourner à la Gestion des certificats > SSL List sur l'appareil F5 BIG-IP.
Dans ce cas, vous verrez que le certificat Entrust a remplacé l'ancien certificat Microsoft et que le renouvellement/remplacement s'est déroulé avec succès.