Phase de pré-découverte

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 4 minutes de lecture

    • La phase de pré-découverte implique des étapes préparatoires, telles que la définition des paramètres d’analyse et la configuration des détails des informations d’identification, afin de garantir un lancement sans heurts du processus de découverte des certificats.

    Découverte via les ports

    La sonde de port [tls_ssl_certs] analyse automatiquement 14 ports par défaut préalablement autorisés. La sonde de port [tls_ssl_certs] analyse automatiquement 14 ports par défaut préalablement autorisés.
    • Ports typiques pour SSL : 443, 8443, 9443, 636 (ldaps), 993 (imaps), 995 (popssl), 989, 990
    • Ports StartTLS : 25 (smtp), 110, 143, 389, 21, 587 (smtp)

    Dans le cadre du processus d’intégration continue Découverte pendant Shazzam, utilise Serveur MID des scanners pour collecter des informations sur la chaîne de certificats à partir du numéro de port IP, capturant ainsi divers attributs, y compris la hiérarchie des certificats. Il Serveur MID transforme ensuite ces certificats en une charge utile XML et la partage avec l’instance. Le capteur Shazzam, à son tour, détecte l’entrée de file d’attente ECC et insère un nouvel enregistrement dans la table Certificat détecté [sn_disco_certmgmt_certificate_history].

    Les champs suivants sont extraits de la charge utile XML et vérifiés en code Java à partir de la sonde de port TLS Shazzam pour les certificats détectés : ID de certificat, revocation_status, objet, émetteur, sans/, is_self_signed, is_ca, valid_from, valid_to, signature_algorithm, fingerprint_algorithm, key_size, serial_number et version.

    Découverte via les URL

    La table URL du certificat [sn_disco_certmgmt_cert_url] contient une liste d'URL à cibler pour la détection des certificats. Chaque enregistrement possède également une référence facultative à la table Certificat unique [cmdb_ci_certificate], pour savoir quel certificat est associé à la définition d'URL spécifiée. Les paramètres nécessaires du Découverte calendrier sont combinés pour créer et initialiser l’état Découverte . La sonde [CertificateDiscoveryFromURLScan] détecte la chaîne de certificats pour chacune des URL du lot et génère une charge utile XML qui contient la chaîne de certificats de chaque certificat. Elle ajoute par ailleurs un nouvel enregistrement dans la table Certificat détecté [sn_disco_certmgmt_certificate_history].

    Découverte via les certificats d’importation (gestion et inventaires des certificats de la version 1.1.7)

    Les certificats d’importation sont détectés via le modèle d’importation de certificat SSL, qui s’appuie sur les paramètres suivants.
    • Nom d’hôte/IP où les certificats sont hébergés
    • Dossier où se trouvent les certificats
    • TLS_keepOriginalCertificate : la définition de ce paramètre sur true peut entraîner une augmentation de la taille de la charge utile, ce qui peut entraîner des problèmes de mémoire insuffisante.
    • Mid_temp_folder : dossier temporaire sur lequel les Serveur MID fichiers seront temporairement copiés.
    Remarque :
    L’option de sélection Serveur MID automatique n’est PAS prise en charge pour les combinaisons MID Windows et Linux. Si le Serveur MID est utilisé pour stocker les fichiers de certificats d'origine, le nom d'hôte/l'adresse IP doit être défini(e) sur blank ou sur localhost, et le Serveur MID spécifique doit être sélectionné pour le calendrier Découverte.

    Découverte via l’autorité de certification (version 1.1.7 Certificate Inventory and Management)

    Une fois que les informations d’identification Certificate Inventory and Management sont configurées auprès de l’autorité de certification GoDaddy, DigiCert, Entrust ou Sectigo et que le calendrier s’exécute Découverte , le modèle CA spécifique effectue des appels d’API REST (GoDaddy, DigiCert, Entrust ou Sectigo), collecte les informations de certificat, récupère la liste des certificats et les stocke dans les tables [cmdb_ci_certificate], [certificate_domain] et [sys_attachment].

    ca_api_url et ca_api_version sont des paramètres facultatifs. Si ces paramètres sont laissés vides dans les paramètres du modèle, les valeurs par défaut sont utilisées. Les valeurs par défaut sont les suivantes :
    • DigiCert : gestion des certificats (ca_api_version = v2, ca_api_url = https://www.digicert.com/services/)
    • Entrust - Gestion des certificats (ca_api_version = v2, ca_api_url = https://api.entrust.net/enterprise/)
    • GoDaddy : gestion des certificats (ca_api_version = v1, ca_api_url = https://api.godaddy.com/)
    • Sectigo - Gestion des certificats (ca_api_version = v1, ca_api_url = https://cert-manager.com/api/ssl/)
    Les arguments en faveur des modèles GoDaddy, DigiCert, Entrust et Sectigo sont les suivants. À partir de la version 1.2.0, vous avez la possibilité d’analyser les autorités de certification (CA) Sectigo et Entrust.
    • Start_offset : position de décalage pour la lecture des certificats des autorités de certification, avec une valeur par défaut de 0.
    • Limite : nombre de certificats à lire à partir du start_offset, avec une valeur par défaut de 1 500.
    • Alias d’informations d’identification : nom de l’alias ou de la balise d’informations d’identification lié aux informations d’identification de l’autorité de certification, ajouté dans la configuration du modèle d’exécution sans serveur.

      Si le paramètre TLS_keepOriginalCertificate est défini sur true, le fichier de certificat est joint au CI de certificat. Cela peut augmenter la taille de la charge utile, ce qui peut entraîner des problèmes de mémoire insuffisante.

    • IncludeCertStatus : paramètre permettant de spécifier des états de certificat supplémentaires à détecter, en plus des valeurs par défaut.
      Tableau 1. États des certificats par autorités de certification
      Autorité de certification États par défaut détectés
      Sectigo
      • Délivré
      • Expiré
      DigiCert et GoDaddy
      • Actif
      • Expiré
      • Révoqué
      • Annulé
      Entrust
      • Actif
      • Expiré
      • Révoqué
      Vous pouvez inclure plusieurs états de certificat en les séparant par des virgules.
    Remarque :
    Le champ État de la table Certificat unique [cmdb_ci_certificate] indique l’état du cycle de vie du certificat, et non l’état brut de l’API. Si l’API renvoie des états tels que émis, valide, expiré ou annulé, elles sont stockées comme « émis » dans la table Certificat unique [cmdb_ci_certificate].

    Une fois la phase de pré-découverte terminée, passez à la phase post-découverte.