Phase vor der Discovery

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Die Phase vor der Discovery umfasst vorbereitende Schritte, z. B. das Definieren von Scanparametern und das Konfigurieren von Anmeldeinformationsdetails, um eine reibungslose Initiierung des Zertifikaterkennungsprozesses sicherzustellen.

    Discovery über Ports

    Die Port-Probe [tls_ssl_certs] scannt automatisch 14 standardmäßig vorautorisierte Ports. Die Port-Probe [tls_ssl_certs] scannt automatisch 14 standardmäßig vorautorisierte Ports.
    • Typische Ports für SSL: 443, 8443, 9443, 636 (ldaps), 993 (imaps), 995 (popssl), 989, 990
    • StartTLS-Ports: 25 (smtp), 110, 143, 389, 21, 587 (smtp)

    Als Teil des CI Discovery Während Shazzam verarbeiten, die MID-Server Verwendet Scanner, um Zertifikatketteninformationen von der IP-Portnummer zu erfassen und verschiedene Attribute zu erfassen, einschließlich der Zertifikathierarchie. Die MID-Server Wandelt diese Zertifikate dann in eine XML-Nutzlast um, die sie für die Instanz freigibt. Der Shazzam-Sensor erkennt wiederum den ECC-Warteschlangeneintrag und fügt einen neuen Datensatz in die Tabelle „erkanntes Zertifikat“ [sn_Disco_certmgmt_certificate_history] ein.

    Die folgenden Felder werden aus der XML-Nutzlast abgerufen und in Java-Code aus der Shazzam TLS-Portprobe für erkannte Zertifikate verifiziert: Zertifikat-ID, Revocation_Status, Betreff, Aussteller, sans/, is_Self_signed, is_CA, valid_from, valid_to, Signature_Algorithmus, Fingerprint_Algorithmus, key_size, Serial_number und Version.

    Discovery über URL

    Die Tabelle „Zertifikat-URL“ [sn_disco_certmgmt_cert_url] enthält eine Liste von URLs, die Ziele der Zertifikaterkennung darstellen. Jeder Datensatz enthält auch einen optionalen Verweis auf die Tabelle „Eindeutiges Zertifikat“ [cmdb_ci_certificate], um anzugeben, welches Zertifikat mit der angegebenen URL-Definition verknüpft ist. Die erforderlichen Parameter aus dem Discovery Zeitpläne werden kombiniert, um zu erstellen und zu initialisieren Discovery Status. Die Probe [CertificateDiscoveryFromURLScan] erkennt die Zertifikatkette für jede der URLs im Batch und gibt eine XML-Nutzlast aus, die die Zertifikatkette für jedes Zertifikat enthält. Er fügt auch einen neuen Datensatz in die Tabelle „Erkanntes Zertifikat“ [sn_disco_certmgmt_certificate_history] ein.

    Discovery Über Importieren von Zertifikaten (Version 1.1.7 Zertifikatbestand und -Verwaltung)

    Die Importzertifikate werden über das Muster „SSL-Zertifikat importieren“ erkannt, das auf den folgenden Parametern basiert.
    • Hostname/IP, auf dem die Zertifikate gehostet werden
    • Ordner, in dem sich Zertifikate befinden
    • TLS_keepOriginalCertificate: Wenn Sie diesen Parameter auf „wahr“ festlegen, kann dies zu einer erhöhten Nutzlastgröße führen, was möglicherweise zu Problemen mit zu wenig Arbeitsspeicher führen kann.
    • Mid_Temp_folder: Der temporäre Ordner auf der MID-Server Wo Dateien vorübergehend kopiert werden.
    Hinweis:
    Automatische Auswahl MID-Server Option wird für MID-Kombinationen von Windows und Linux NICHT unterstützt. Wenn der MID-Server zum Speichern der ursprünglichen Zertifikatdateien verwendet wird, müssen Hostname/IP leer oder localhost sein, und der spezifische MID-Server für den Discovery-Zeitplan muss ausgewählt sein.

    Discovery Über CA-Behörde (Version 1.1.7 Zertifikatbestand und -Verwaltung)

    Sobald die Anmeldeinformationen für Zertifikatbestand und -Verwaltung mit GoDaddy, DigiCert, Entrust oder Sectigo Certificate Authority und eingerichtet wurden Discovery Zeitplanausführungen, das spezifische CA-Muster führt REST-API-Aufrufe an (GoDaddy, DigiCert, Entrust oder Sectigo) durch, erfasst Zertifikatinformationen, ruft die Liste der Zertifikate ab und speichert sie in den Tabellen [cmdb_ci_certificate], [certificate_Domain] und [sys_attachment].

    CA_api_url und CA_api_Version sind optionale Parameter. Wenn diese Parameter in Musterparametern leer gelassen werden, werden Standardwerte verwendet. Die Standardwerte umfassen:
    • DigiCert – Zertifikatverwaltung (CA_api_Version = v2, CA_api_url = https://www.digicert.com/services/)
    • Entrust – Zertifikatverwaltung (ca_api_Version = v2, ca_api_url = https://api.entrust.net/enterprise/)
    • GoDaddy – Zertifikatverwaltung (ca_api_Version = v1, ca_api_url = https://api.godaddy.com/)
    • Sectigo – Zertifikatverwaltung (ca_api_Version = v1, ca_api_url = https://cert-manager.com/api/ssl/)
    Die Argumente für GoDaddy-, DigiCert-, Entrust- und Sectigo-Muster lauten wie folgt. Ab Version 1,2 haben Sie die Möglichkeit, Sectigo zu scannen und Zertifizierungsstellen (CAS) zu vertrauen.
    • Start_Offset: Die Offsetposition zum Lesen von Zertifikaten von CA-Behörden mit einem Standardwert von 0.
    • Grenzwert: Die Anzahl der Zertifikate, die aus dem Start_Offset gelesen werden sollen, mit einem Standardwert von 1500.
    • Anmeldeinformationsalias: Der Name des Anmeldeinformationsalias oder Tags, der mit den ZERTIFIZIERUNGSSTELLEN-Anmeldeinformationen verknüpft ist und in der serverlosen Ausführungsmusterkonfiguration hinzugefügt wurde.

      Wenn der Parameter „TLS_keepOriginalCertificate“ auf „wahr“ festgelegt ist, wird die Zertifikatdatei an das Zertifikat-CI angehängt. Dies kann die Nutzlastgröße erhöhen, was möglicherweise zu Problemen mit zu wenig Arbeitsspeicher führen kann.

    • IncludeCertStatus: Ein Parameter zum Angeben zusätzlicher zu erkennender zertifikatstatus zusätzlich zu den Standardwerten.
      Tabelle : 1. zertifikatstatus nach Zertifizierungsstellen
      Zertifizierungsstelle Standardstatus Erkannt
      Sectigo
      • Ausgegeben
      • Abgelaufen
      DigiCert und GoDaddy
      • Aktiv
      • Abgelaufen
      • Widerrufen
      • Abgebrochen
      Entrust
      • Aktiv
      • Abgelaufen
      • Widerrufen
      Sie können mehrere Zertifikatstatus einschließen, indem Sie sie durch Kommas trennen.
    Hinweis:
    Die status Das Feld in der Tabelle „eindeutiges Zertifikat“ [cmdb_ci_certificate] gibt den Lebenszyklusstatus des Zertifikats an, nicht den Rohstatus aus der API. Wenn die API status wie „ausgestellt“, „gültig“, „abgelaufen“ oder „Abgebrochen“ zurückgibt, werden sie als „ausgestellt“ in der Tabelle „eindeutiges Zertifikat“ [cmdb_ci_certificate] gespeichert.

    Sobald die Phase vor der Discovery abgeschlossen ist, fahren Sie mit fort Phase nach der Discovery .