AWS Descoberta do Gerenciador de certificados
Descoberta na nuvem usa Padrões para descobrir dados de certificado que o gerenciador de certificados Amazon AWS Cloud gerencia (ACM). A descoberta desses dados requer a instalação e atualização de Padrões de descoberta e mapeamento de serviços e Gestão e inventário de certificações.
Solicitar aplicativos na Store
Acesse o site ServiceNow Store para ver todos os aplicativos disponíveis e obter informações sobre como enviar solicitações para a loja. Para obter informações sobre notas de versão cumulativa para todos os aplicativos liberados, consulte as ServiceNow Store notas de versão do histórico de versão.
Pré-requisitos
- Verificar a configuração de uma conta AWS
- Para obter mais informações, consulte Como explorar o Descoberta na nuvem.
- Verificar a instalação dos plug-ins
- Gestão e inventário de certificações (sn_disco_certmgmt) pelo menos 3.4.0
- Verifique se Descoberta na nuvem tem permissões para descobrir AWS
- Execute os seguintes comandos com a CLI AWS para verificar as permissões e políticas anexadas à sua função de IAM ativa:
- Listar certificados
AWS_PAGER = '' aws acm list-certificates --region<region> - Descrever certificados
AWS_PAGER='' awsacm description-certificate --certificate-arnarn:aws:acm:<region> :<accout_id> :certificado/<certificate_id> - Obter certificados
AWS_PAGER='' awsacm get-certificate --certificate-arnarn:aws:acm:<region> :<account_id> :certificado/<certificate_id> - Obter marcadores
AWS_PAGER='' awsresourcegroupstaggingapi get-resources --tags-per-page 100 --resource-type-filters 'acm:certificate'
- Listar certificados
- Definir a configuração da propriedade do sistema
- Quando a propriedade do sistema sn_itom_pattern.issuer_certificate_search_by_idn é definida como falsa, Descoberta usa as impressões digitais do certificado para encontrar emissores e emissores raiz.
- Verifique os MID Server requisitos
- O MID Server deve ter a capacidade ALL ou AWS.
- Verifique a configuração da programação Descoberta na nuvem
- Para obter mais informações, consulte Como criar uma programação de descoberta no Espaço de descoberta na nuvem.
Verifique as permissões do REST API
Baixar o Descoberta na nuvem Planilha de permissões de REST API para que você possa conceder as permissões de usuário necessárias para executar os padrões Descoberta. Novos padrões são disponibilizados trimestralmente; por isso, verifique periodicamente para ter certeza de que está usando a versão mais recente da planilha.
Dados coletados pelo Descoberta durante a descoberta horizontal
| Campo | Descrição |
|---|---|
| Certificados exclusivos [cmdb_ci_certificate] | |
| Nome |
O nome do host/domínio associado ao certificado. Por exemplo, *.service-now.com |
| Impressão digital |
O valor de hash do certificado. Por exemplo, d708c8583c78c176d5df1a4f01aac746294 e390a03038f280b0d8f5efbc8a0f |
| Algoritmo de impressão digital |
O algoritmo que está sendo usado para gerar hash do certificado. Por exemplo, Descoberta calcula impressões digitais pelo algoritmo SHA-256, portanto, o valor preenchido é: SHA-256 |
| Número de Série | O número de série do certificado. Por exemplo, 70 d8 c9 52 77 1c 2d 54 97 00 0e 21 05 84 dd 76 b5 e8 c1 73 |
| Nome comum do assunto |
O nome do host/domínio associado ao certificado. Por exemplo, *.service-now.com |
| Nome diferenciado do assunto |
O nome diferenciado da entidade para a qual o certificado é emitido. O nome diferenciado do assunto consiste no seguinte
|
| Nome comum do emissor |
O nome comum do emissor do certificado. Por exemplo, Autoridade de certificação Entrust. |
| Nome diferenciado do emissor |
O nome diferenciado do emissor do certificado. O nome diferenciado do emissor consiste no seguinte
|
| Acompanhamento de renovação |
Indica se deve ser criada alguma tarefa de prioridade 1 ou de prioridade 3 para os certificados prestes a expirar. Descoberta define o acompanhamento de renovação como prioridade 3 quando a propriedade do sistema glide.discovery.certs.enable_renewal_task_creation_for_discovered_certificates está definida como verdadeira. |
| Válido de | O certificado é válido a partir desta data (UTC). Por exemplo, 2023-09-25 10:43:03 |
| Válido até |
A data de vencimento do certificado (UTC). Por exemplo, 2024-09-24 10:43:03 |
| Organização do assunto |
A organização (O) para a qual o certificado é emitido. |
| Unidade organizacional do assunto | A unidade organizacional (OU) para a qual o certificado é emitido. |
| País do assunto | O país (C) da organização para a qual o certificado foi emitido. Preenchido em um código de país de duas letras. |
| Estado da entidade | A região, estado (ST) ou província da organização para a qual o certificado é emitido. Preenchido com código de duas letras. |
| Localidade do assunto | A cidade, local (L) da organização para a qual o certificado é emitido. |
| E-mail do assunto | O endereço de e-mail da organização para a qual o certificado é emitido. |
| Emissor | Uma referência à entidade que assinou e emitiu o certificado. A referência estará disponível se o certificado emitido fizer parte da mesma carga. |
| Emissor da Raiz | Uma referência ao certificado raiz. A referência estará disponível se o certificado emitido fizer parte da mesma carga. |
| Nome alternativo do assunto | O nome do registro de domínio do certificado. |
Relacionamentos entre ICs
O padrão Amazon AWS - Gerenciador de certificados e a biblioteca compartilhada Amazon AWS - Coletar marcadores de certificados são compatíveis com a descoberta dos seguintes relacionamentos:
| IC | Relacionamento | IC |
|---|---|---|
| Certificado exclusivo [cmdb_ci_certificate] | Hosts::Hosted on | Datacenter da AWS [cmdb_ci_aws_datacenter] |
| Certificado exclusivo[cmdb_ci_certificate] | Hosts::Hosted on | Conta de serviço em nuvem [cmdb_ci_cloud_service_account] |
| Valor da chave [cmdb_key_value] | Referência | Certificado exclusivo[cmdb_ci_certificate] |