CLM
CLM是什么,以及谁负责做什么
证书生命周期管理(CLM) 涵盖证书的整个生命周期:网络发现、跨团队和证书颁发机构的清单管理、颁发、部署、监控、续订和吊销。生命周期的不同阶段由技术栈的不同层级负责。
如果您已经运行 Venafi TPP 或 Keyfactor Command,则无需 SSL.com。 还 要成为 CLM 平台,您需要将 SSL.com 集成到您现有的平台中。本页内容将介绍这方面的信息。
| 层 | 它做什么 | SSL.com 的定位 |
|---|---|---|
| CLM平台(Venafi、Keyfactor) | 发现、多 CA 清单、审批工作流程、请求表单、基于角色的访问控制 (RBAC)、审计、报告、策略 | SSL.com 通过已发布的驱动程序/插件以证书颁发机构 (CA) 的身份集成到平台中。 |
| 自动化协议(ACME) | 标准化、无人值守的签发和续期 | SSL.com 是一个完全兼容 ACME 标准的 CA — 请参阅 ACME 页面 |
| REST API(SWS API、开发者门户 API) | 为自定义集成提供对完整证书生命周期的编程访问权限 | 两者均由 SSL.com 发布和支持——请参阅下方的 REST API 部分。 |
| 证书颁发机构(SSL.com) | 验证、签发、撤销、到期通知、账户级管理 | CLM堆栈的CA层 |
SSL.com 的原生生命周期功能
这些功能直接在 SSL.com 帐户中提供,无需任何集成:
什么是 不会 由 SSL.com 原生提供: 全网证书发现、多 CA 证书清单、审批工作流、可自定义请求表单以及全集群基于角色的访问控制 (RBAC)。这些都是 CLM 平台的功能——可以使用 Venafi 或 Keyfactor,并接入 SSL.com 作为 CA。
集成 — Venafi TPP(CyberArk)
SSL.com 与 Venafi信任保护平台(TPP) — 现已成为 CyberArk 机器身份安全产品组合的一部分 — 通过 用于 Venafi 的 SSL.com 自适应驱动程序.
集成功能提供什么
- 通过 Venafi 实现全生命周期自动化: 通过 Venafi 平台申请、颁发、续订和吊销 SSL.com 证书
- 涵盖所有 SSL.com 证书类型: SSL /TLS客户端身份验证 S/MIME以及代码签名
- 基于 SWS API 构建: 驱动程序通过 SWS API 与 SSL.com 通信,因此 Venafi 内部可以获取完整的证书生命周期和实时数据。
- 集中化的可见性和策略: Venafi 仍然是单一的管理平台——SSL.com 是 Venafi 可以颁发证书的 CA 之一。
如何部署
该驱动程序已发布在 Venafi / CyberArk Marketplace 上。将其安装到您的 Venafi TPP 环境中,配置 SSL.com 帐户凭据,并定义您的团队应该能够颁发证书的 SSL.com 产品。
集成 — 关键因素命令
SSL.com 与 关键因素命令 通过 SSL.com AnyCA 网关 REST 插件发布并维护在 Keyfactor 的 GitHub 上。
集成功能提供什么
- 颁发、撤销和同步 来自 Keyfactor Command 的 SSL.com 证书,以及 Keyfactor 管理的任何其他 CA 证书
- 现代基于 REST 的架构: 它基于 Keyfactor 的 AnyCA 网关 REST 框架运行,而不是传统的 DCOM 网关。
- 可配置的证书模板: 将 SSL.com 产品 ID 映射到 Keyfactor 中的证书配置文件;通过命令的注册字段控制证书的有效期和其他参数。
- 兼容 Keyfactor Command v12.3 及更高版本
如何部署
按照 Keyfactor 的文档安装 AnyCA Gateway REST,将 SSL.com 插件放入 Gateway 的 Extensions 目录中,重启服务,并在 Keyfactor 命令中添加 SSL.com 作为 HTTPS CA。
REST API 接口
SSL.com 通过以下方式公开其证书生命周期: 两个 REST/JSON API两者都可以直接用于构建自定义 CLM 工作流,也可以作为第三方 CLM 平台的集成底层。两者都通过 SSL.com 帐户进行身份验证,返回 JSON 数据,并涵盖完整的证书生命周期。
| API | 它是什么 | 何时使用 |
|---|---|---|
| SWS API(SSL.com Web Services) | 已建立的 REST API 可用于证书的订购、验证、颁发、密钥重置、吊销和账户管理。并由公共沙箱提供支持,以确保安全测试。 | 现有合作伙伴集成、适用于 Venafi 的 SSL.com 自适应驱动程序以及最新的自动化功能。稳定、广泛部署、文档齐全。 |
开发者门户 API api.ssl.com | 新的 REST API 和自助式开发者门户——相同的生命周期,焕然一新的界面,以及用于凭据和文档的成员门户。测试阶段 api.www.ssl.com. | 推荐用于新的集成工作。使用预发布环境进行开发;部署到生产环境时需进行相应的调整。 api.ssl.com 准备好了。 |
选择一种方法
| 你的情况 | 推荐方法 |
|---|---|
| 小型车队,主要面向公众。 TLS没有现有的CLM平台 | 使用 SSL.com 的原生过期通知功能 ACME 自动化 |
| 中型企业,DevOps驱动,无CLM平台 | ACME 用于证书签发/续期自动化,加上 SSL.com 的原生账户级跟踪功能。 |
| 已运行 Venafi TPP / CyberArk 机器身份安全 | 安装 SSL.com 兼容驱动程序 — 继续使用 Venafi 作为您的单一管理平台 |
| Keyfactor 命令已在运行 | 安装 SSL.com AnyCA 网关 REST 插件 — 继续使用 Keyfactor 作为您的单一管理平台 |
| 定制内部工具或与上述未列出的 CLM 平台集成 | 使用 SWS API 或开发者门户 API 进行构建 api.ssl.com |
| 需要网络发现、多 CA 清单、审批、请求表单或全机群 RBAC | 采用客户生命周期管理 (CLM) 平台(例如 Venafi 或 Keyfactor),并使用相关插件集成 SSL.com。 |
常见问题
不。SSL.com 提供基本的账户级生命周期功能,例如到期通知、证书列表、续订和吊销,以及完整的 ACME 自动化和两个 REST API。但它本身并不提供证书发现、多 CA 清单、审批工作流、请求表单和基于角色的访问控制 (RBAC) 等功能。要使用这些功能,需要将 SSL.com 与 Venafi TPP 或 Keyfactor Command 等证书生命周期管理 (CLM) 平台集成。
不。网络发现——扫描主机和端点以构建清单,无论证书是由哪个 CA 颁发的——是 CLM 平台的功能。Venafi 和 Keyfactor 都提供此功能。SSL.com 只能查看通过您的 SSL.com 帐户颁发的证书。
不,这些是CLM平台的功能。在Venafi或Keyfactor中定义您的工作流程和请求表单,并通过集成将证书颁发路由到SSL.com。
是的。Venafi 驱动程序和 Keyfactor 插件是独立的——同时运行这两个平台的组织可以将 SSL.com 连接到这两个平台。
对于新的集成,建议使用开发者门户 API(api.ssl.com,测试环境:api.www.ssl.com)。对于现有的自动化流程、合作伙伴集成以及任何基于 SSL.com Adaptable Driver for Venafi 构建的应用,SWS API 仍然稳定且完全受支持。这两个 API 都涵盖了证书的完整生命周期。
ACME 是 IETF 标准的自动化协议,用于证书的颁发和续期。您可以直接使用它(配置一个针对 SSL.com 的 ACME 客户端),也可以通过 CLM 平台代表您调用它。许多团队使用 CLM 平台来实现可见性和治理,并以 ACME 作为底层自动化传输协议。有关详细信息,请参阅 ACME 功能页面。
SSL Manager 是一个用于端点级证书操作的 Windows 桌面图形用户界面,支持在单台机器上进行证书颁发、安装和续订。CLM 是组织范围内的管理体系,通过 Venafi 或 Keyfactor(或 SSL.com 的原生账户功能,适用于更简单的环境)运行。团队经常使用 SSL Manager 用于单个服务器工作和用于舰队视图的 CLM 平台。
相关产品及功能
ACME
SSL.com 的原生 ACME 端点以及调用 ACME(颁发和续订层)的 CLM 平台使用的自动化协议。
SSL Manager
用于终端级证书操作的 Windows 桌面工具——是对舰队级 CLM 的补充。
单个域 TLS/SSL
可通过 CLM 集成、REST API、ACME 或直接发布。
通配符 TLS/SSL
可通过 CLM 集成、REST API、ACME 或直接发布。
托管 PKI
企业级管理 PKI — 通常与 CLM 平台配合使用。
