Phase vor der Discovery

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 3 Minuten Lesedauer

    • Die Phase vor der Discovery umfasst vorbereitende Schritte, z. B. das Definieren von Scanparametern und das Konfigurieren von Anmeldeinformationsdetails, um eine reibungslose Initiierung des Zertifikaterkennungsprozesses sicherzustellen.

    Discovery Über Ports

    Die Portprobe [tls_ssl_certes] scannt automatisch 14 vorautorisierte Standardports. Die Portprobe [tls_ssl_certes] scannt automatisch 14 vorautorisierte Standardports.
    • Typische Ports für SSL: 443, 8443, 9443, 636 (ldaps), 993 (Imaps), 995 (Popssl), 989, 990
    • StartTLS-Ports: 25 (smtp), 110, 143, 389, 21, 587 (smtp)

    Als Teil des CI Discovery Während Shazzam verarbeiten MID-Server Verwendet Scanner, um Zertifikatketteninformationen aus der IP-Portnummer zu erfassen und verschiedene Attribute zu erfassen, einschließlich der Zertifikathierarchie. Die MID-Server Wandelt diese Zertifikate dann in eine XML-Nutzlast um und gibt sie für die Instanz frei. Der Shazzam-Sensor erkennt wiederum den ECC-Warteschlangeneintrag und fügt einen neuen Datensatz in die Tabelle „erkanntes Zertifikat“ [sn_disco_certmgmt_certificate_history] ein.

    Die folgenden Felder werden aus der XML-Nutzlast abgerufen und in Java-Code aus der Shazzam-TLS-Portprobe für erkannte Zertifikate verifiziert: Zertifikat-ID, Revocation_Status, Betreff, Aussteller, sans/, is_Self_signed, is_ca, valid_from, valid_to, Signature_algorithmus, Fingerabdruck_Algorithmus, Key_size, Serial_number und Version.

    Discovery Über URL

    Die Tabelle „Zertifikat-URL [sn_disco_certmgmt_cert_url]“ enthält eine Liste von URLs, die für die Zertifikat-Discovery als Ziel dienen sollen. Jeder Datensatz hat auch einen optionalen Verweis auf die eindeutige Zertifikattabelle [cmdb_ci_certificate], um anzuzeigen, welches Zertifikat mit der angegebenen URL-Definition verknüpft ist. Die erforderlichen Parameter aus Discovery Zeitplan werden kombiniert, um zu erstellen und zu initialisieren Discovery Status. Die Probe [CertificateDiscoveryFromURLScan] erkennt die Zertifikatkette für jede der URLs im Batch und gibt eine XML-Nutzlast aus, die die Zertifikatkette für jedes Zertifikat enthält. Außerdem wird der Tabelle des erkannten Zertifikats [sn_disco_certmgmt_certificate_history] ein neuer Datensatz hinzugefügt.

    Discovery Über Importzertifikate (Zertifikatbestand und -Verwaltung Version 1.1.7)

    Die Importzertifikate werden über das Muster „SSL-Zertifikat importieren“ erkannt, das auf den folgenden Parametern basiert.
    • Hostname/IP, auf dem die Zertifikate gehostet werden
    • Ordner, in dem sich Zertifikate befinden
    • TLS_keepOriginalCertificate: Wenn Sie diesen Parameter auf „wahr“ setzen, kann dies zu einer Erhöhung der Nutzlastgröße führen, was möglicherweise zu Problemen mit zu wenig Arbeitsspeicher führen kann.
    • Mid_Temp_folder: Der temporäre Ordner auf MID-Server Wo Dateien vorübergehend kopiert werden.
    Hinweis:
    Automatische Auswahl MID-Server Option wird für MID-Kombinationen von Windows und Linux NICHT unterstützt. Wenn MID-Server Wird zum Speichern der ursprünglichen Zertifikatdateien verwendet. Dann muss Hostname/IP auf leer oder localhost und den jeweiligen festgelegt werden MID-Server Muss für ausgewählt werden Discovery Zeitplan.

    Discovery Über CA-Behörde (Zertifikatbestand und -Verwaltung Version 1.1.7)

    Sobald die Anmeldeinformationen für Zertifikatbestand und -Verwaltung mit der Zertifizierungsstelle „GoDaddy“, „DigiCert“, „Entrust“ oder „Sectigo“ und eingerichtet wurden Discovery Zeitplanausführungen, das spezifische CA-Muster führt REST-API-Aufrufe an (GoDaddy, DigiCert, Entrust oder Sectigo), erfasst Zertifikatinformationen, ruft die Liste der Zertifikate ab und speichert sie in den Tabellen [cmdb_ci_certificate], [certificate_Domain] und [sys_attachment].

    CA_api_url und CA_api_Version sind optionale Parameter. Wenn diese Parameter in Musterparametern leer gelassen werden, werden Standardwerte verwendet. Die Standardwerte umfassen:
    • DigiCert – Zertifikatverwaltung (ca_api_Version = v2, ca_api_url = https://www.digicert.com/services/)
    • Entrust – Zertifikatverwaltung (ca_api_Version = v2, ca_api_url = https://api.entrust.net/enterprise/)
    • GoDaddy – Zertifikatverwaltung (ca_api_Version = v1, ca_api_url = https://api.godaddy.com/)
    • Sectigo – Zertifikatverwaltung (ca_api_Version = v1, ca_api_url = https://cert-manager.com/api/ssl/)
    Die Argumente für GoDaddy-, DigiCert-, Entrust- und Sectigo-Muster lauten wie folgt. Ab Version 1,2 haben Sie die Möglichkeit, Sectigo und Entrust Certificate Authoritys (CAS) zu scannen.
    • Start_Offset: Die Offset-Position zum Lesen von Zertifikaten von CA-Behörden mit einem Standardwert von 0.
    • Grenzwert: Die Anzahl der Zertifikate, die aus Start_Offset gelesen werden sollen, mit einem Standardwert von 1500.
    • Anmeldeinformationsalias: Der Name des Anmeldeinformationsalias oder Tags, der mit den ZERTIFIZIERUNGSSTELLEN-Anmeldeinformationen verknüpft ist und in der serverlosen Ausführungsmusterkonfiguration hinzugefügt wird.

      Wenn der Parameter „TLS_keepOriginalCertificate“ auf „wahr“ festgelegt ist, wird die Zertifikatdatei an das Zertifikat-CI angehängt. Dies kann die Nutzlastgröße erhöhen, was möglicherweise zu Problemen mit zu wenig Arbeitsspeicher führen kann.

    • IncludeCertStatus: Ein Parameter zum Angeben zusätzlicher zu erkennender zertifikatstatus zusätzlich zu den Standardwerten.
      Tabelle : 1. zertifikatstatus nach Zertifizierungsstellen
      Zertifizierungsstelle Standardstatus Erkannt
      Sectigo
      • Ausgegeben
      • Abgelaufen
      DigiCert und GoDaddy
      • Aktiv
      • Abgelaufen
      • Widerrufen
      • Abgebrochen
      Entrust
      • Aktiv
      • Abgelaufen
      • Widerrufen
      Sie können mehrere Zertifikatstatus einschließen, indem Sie jeden durch Kommas trennen.
    Hinweis:
    Die status Das Feld in der Tabelle „eindeutiges Zertifikat“ [cmdb_ci_certificate] gibt den Lebenszyklusstatus des Zertifikats an, nicht den Rohstatus aus der API. Wenn die API status wie „ausgestellt“, „gültig“, „abgelaufen“ oder „Abgebrochen“ zurückgibt, werden sie als „ausgestellt“ in der eindeutigen Zertifikattabelle [cmdb_ci_certificate] gespeichert.

    Sobald die Phase vor der Discovery abgeschlossen ist, fahren Sie mit fort Phase nach der Discovery .