인증 인벤토리 및 관리

워싱턴 D.C. IT 운영 관리

Release

washingtondc

ft:locale

ko-KR

ft:publication_title

워싱턴 D.C. IT 운영 관리

ft:clusterId

itom

bundleId

itom

workflow

Technology

인증 인벤토리 및 관리

릴리스 버전: Washingtondc

업데이트 날짜 2024년 02월 01일

읽기9분

인증 인벤토리 및 관리 애플리케이션을 사용하여 모든 TLS 인증서를 검색하고 인벤토리를 가져오며 사전 예방적으로 관리할 수 있습니다. 인증 인벤토리 및 관리에 대해 IPv6가 지원됩니다.

스토어에서 앱 요청

ServiceNow Store 웹 사이트를 방문하면 사용 가능한 모든 앱을 확인하고 스토어에 요청을 제출하는 방법에 대한 정보를 참조할 수 있습니다. 출시된 모든 앱의 누적 릴리스 정보는 ServiceNow Store 버전 기록 릴리스 정보를 참조하십시오.

이점

모든 TLS 인증서의 인벤토리 가져오기
임박한 만료에 대한 정보를 제공합니다.
플로우를 통해 인증서 작업을 생성하여 만료되는 인증서를 갱신합니다.
이미 만료된 인증서에 대한 인시던트를 생성합니다.
인증서 중요도 우선순위 지정
인증서를 사전 예방적으로 관리하는 데 도움이 됩니다.
대량의 인증서를 수동으로 추적할 필요가 없습니다.
만료되었거나 만료 예정인 인증서로 인한 작업 중단으로 발생하는 비용 방지

요구 사항

ITOM 가시성 [com.snc.itom.vis.license] 플러그인, 검색 [com.snc.discovery] 플러그인, Configuration Management for Scoped Apps(CMDB) [com.snc.cmdb.scoped] 플러그인이 설치되어 활성화되어 있으며 Washington DC 이상 버전으로 업그레이드했는지 확인합니다. 그 이후 ServiceNow Store에서 인증 인벤토리 및 관리 애플리케이션을 다운로드할 수 있습니다. 업그레이드 시 ITOM Visibility [com.snc.itom.vis.license] 및 검색 [com.snc.discovery] 플러그인이 설치되어 있는 경우 인증 인벤토리 및 관리 [com.sn_disco_certmgmt] 플러그인이 자동으로 설치됩니다.

MID 서버는 사용 케이스에 따라 다음 엔드포인트에 접근해야 합니다.

Entrust: 인증서 검색 URL: https://api.entrust.net/enterprise/
Entrust 루트 인증서 다운로드 URL: https://web.entrust.com/root-certificates –
DigiCert: https://www.digicert.com/services/
Sectigo: https://cert-manager.com/api/ssl/
GoDaddy: https://api.godaddy.com/

주:

ServiceNow Store에서는 새로운 애플리케이션과 ServiceNow에서 제작하는 애플리케이션에 대한 업데이트를 정기적으로 릴리스합니다. 이미 애플리케이션이 있는 경우 최신 버전을 다운로드하여 ServiceNow 제품의 기존 환경을 개선할 수 있습니다. 애플리케이션이 스토어에 릴리스될 때마다 다양한 기능이 제공하거나 개선되기 때문에 특정 릴리스에서 사용 가능한 컨텐츠 및 기능은 본 문서에서 버전 번호별로 확인할 수 있습니다.

인증 인벤토리 및 관리 작업 방식

인증 인벤토리 및 관리는 검색에서 기존 CI 기반의 Discovery 일정을 통해 특정 포트에서 인증을 자동으로 검색할 수 있습니다. 또한 새 검색 일정을 생성하여 개별 URL을 검색할 수 있습니다.

버전 1.1.7 인증 인벤토리 및 관리에서는 CA(인증 기관)를 검색하고 파일에서 인증을 임포트할 수도 있습니다.

Washington DC 릴리스를 통해 버전 1.2.0 인증 인벤토리 및 관리를 다운로드할 수 있습니다. HTTP(S) 엔드포인트 [cmdb_ci_endpoint_http] 테이블에 사용된 인증서를 검색하고, SSL 인증서 목록을 일괄적으로 임포트할 수 있습니다. 만료될 예정이거나 만료된 인증서에 대한 이벤트와 경보를 생성하고 만료될 예정이거나 만료된 인증서의 Slack에서 알림을 받을 수 있습니다.

프로세스의 초기 부분은 인증이 검색되는 위치에 따라 다릅니다.

포트를 통한 검색
포트 프로브 [tls_ssl_certs]에서 사전 승인된 14개의 기본 포트를 자동으로 검색합니다.
- SSL용 일반 포트: 443, 8443, 9443, 636(ldap), 993(imap), 995(popssl), 989, 990
- StartTLS 포트: 25(smtp), 110, 143, 389, 21, 587(smtp)
Shazzam 중 CI 검색 프로세스의 일부로서 MID Server는 스캐너를 실행하여 IP 포트 번호에서 인증 체인 정보를 얻습니다. 인증 계층 구조를 포함하여 다양한 인증 속성 및 기타 데이터를 캡처합니다. MID Server는 인증 정보를 포함하는 XML 페이로드로 인증을 변환하고 XML 페이로드를 인스턴스와 공유합니다. 인스턴스의 Shazzam 센서는 ECC 큐 항목을 선택하고 검색한 인증 [sn_disco_certmgmt_certificate_history] 테이블에 새 기록을 추가합니다.
다음 필드는 XML 페이로드에서 가져오며 검색된 인증서에 대한 Shazzam TLS 포트 프로브의 Java 코드에서 확인됩니다.
- 인증서 ID
- revocation_status
- 제목
- issuer
- sans/
- is_self_signed
- is_ca
- valid_from
- valid_to
- signature_algorithm
- fingerprint_algorithm
- key_size
- serial_number
- version
URL을 통한 검색
인증 URL [sn_disco_certmgmt_cert_url] 테이블에는 인증 검색을 위한 URL 대상 목록이 있습니다. 또한 각 기록에는 고유 인증 [cmdb_ci_certificate] 테이블에 대한 참조 사항이 있으므로 주어진 URL 정의에 관련하는 인증이 무엇인지 확인할 수 있습니다. Discovery 일정의 필수 매개변수를 결합하여 검색 상태를 생성하고 초기화합니다. [CertificateDiscoveryFromURLScan] 프로브는 배치에서 각 URL에 대한 인증 체인을 검색하고 각 인증에 대한 인증 체인을 포함하는 XML 페이로드를 출력합니다. 또한 검색한 인증 [sn_disco_certmgmt_certificate_history] 테이블에 새 기록을 추가합니다.
인증서 임포트를 통한 검색(버전 1.1.7 인증 인벤토리 및 관리)
인증 임포트는 다음을 사용하는 패턴 임포트 SSL 인증을 사용하여 검색됩니다.
- 인증을 호스팅하는 호스트 이름/IP
- 인증이 있는 폴더
- TLS_keepOriginalCertificate: TLS_keepOriginalCertificate 매개변수가 참으로 설정되면 페이로드 크기가 증가하여 메모리 부족 문제가 발생할 수 있습니다.
- Mid_temp_folder: 파일을 임시로 복사할 MID 서버 폴더입니다.
주:
Auto-select MID Server 옵션이 Windows 및 Linux 중반 조합에는 지원되지 않습니다. MID 서버가 원본 인증 파일을 저장할 때 사용되는 경우 호스트 이름/IP는 공백 또는 로컬 호스트로 설정해야 하며 검색 일정에 대해 특정 MID 서버를 선택해야 합니다.
CA 권한을 통한 검색(버전 1.1.7 인증 인벤토리 및 관리)
Godaddy, DigiCert, Entrust 또는 Sectigo 인증 기관을 통해 인증 인벤토리 및 관리 자격 증명을 설정하고 검색 일정을 실행하면 특정 CA 패턴이 Godaddy, DigiCert, Entrust 또는 Sectigo에 대해 REST API 호출을 생성하고 인증서 정보를 수집하여 인증서 목록을 검색한 다음 [cmdb_ci_certificate], [certificate_domain], [sys_attachment] 테이블에 저장합니다.
ca_api_url 및 ca_api_version은 선택적 매개변수입니다. 패턴 매개변수 내에 이러한 매개변수가 비어 있으면 기본값이 사용됩니다. 기본값은 다음과 같습니다.
- DigiCert - 인증서 관리(ca_api_version = v2, ca_api_url = https://www.digicert.com/services/)
- Entrust - 인증서 관리(ca_api_version = v2, ca_api_url = https://api.entrust.net/enterprise/)
- GoDaddy - 인증서 관리(ca_api_version = v1, ca_api_url = https://api.godaddy.com/)
- Sectigo - 인증서 관리(ca_api_version = v1, ca_api_url = https://cert-manager.com/api/ssl/)
다음은 GoDaddy, DigiCert, Entrust, Sectigo 패턴에 대한 인수입니다. 버전 1.2.0부터 Sectigo 및 Entrust CA를 검색할 수 있습니다.
- Start_offset: CA 기관의 인증서를 읽을 오프셋 위치입니다. 기본값은 0입니다.
- Limit: start_offset에서 읽을 인증서의 수입니다. 기본값은 1500입니다.
- CredentialAlias: CA의 자격 증명에 첨부된 자격 증명 별칭 또는 태그의 이름입니다. 이를 서버리스 실행 패턴 구성에 추가해야 합니다.
- TLS_keepOriginalCertificate 매개변수가 true로 설정되면 인증서 파일이 인증서 CI에 첨부됩니다. 페이로드 크기가 증가하여 메모리 부족 문제가 발생할 수 있습니다.
- IncludeCertStatus: 기본값 외에 검색할 추가 인증 상태를 제공하는 매개변수입니다.
  Sectigo의 경우 검색된 기본 상태는 다음과 같습니다.
  - 발급됨
  - 만료됨
  DigiCert 및 Godaddy의 경우 검색된 기본 상태는 다음과 같습니다.
  - 발급됨
  - 만료됨
  - 해지됨
  - 취소됨
  Entrust의 경우 검색된 기본 상태는 다음과 같습니다.
  - 활성
  - 만료됨
  - 해지됨
  각각 쉼표로 구분하여 여러 인증서 상태를 추가할 수 있습니다.
주:
고유 인증 [cmdb_ci_certificate] 테이블의 상태 필드는 API에서 반환되는 원시 상태가 아니라 인증서의 수명주기 상태를 나타냅니다. API에서 반환되는 상태가 발급됨, 유효, 만료됨 또는 취소됨이면 고유 인증 [cmdb_ci_certificate] 테이블에 발급됨으로 저장됩니다.
이 시점부터 프로세스는 동일합니다.
그 다음 고유 인증 [cmdb_ci_certificate] 및 설치한 인증 [sn_disco_certmgmt_cmdb_installed_certificate] 테이블이 인증 기관 및 루트에 의해 서명된 TLS 인증 체인으로 채워집니다. 인증이 검색되면 예약된 작업에서 자동으로 만료 예정 및 만료된 인증에 대한 고유 인증 [cmdb_ci_certificate] 테이블을 확인합니다. 그러면 인증 작업 및 인시던트가 생성되고 할당됩니다.

수동으로 새 인증을 요청하고 인증을 갱신할 수 있습니다. 자세한 내용은 인증 요청에 대한 수동 플로우 문서를 참조하십시오.

버전 1.3.8에는 새 인증, 갱신 또는 인증서 해지 요청을 자동화하는 기능이 추가되었습니다. TLS 인증서에 대한 자동 인증 관리 참조
시스템 성능을 최적화하기 위해, 테이블 클리너가 다음 두 개의 테이블에서 지정한 기간이 지난 이전 인증 기록을 자동으로 삭제합니다.
- 검색한 인증 [sn_disco_certmgmt_certificate_history] 테이블: 30일 이상
- 설치한 인증 [sn_disco_certmgmt_cmdb_installed_certificate] 테이블: 90일 이상

주:

Discovery 속성 및 시스템 속성에 제시된 대로 특정 인증서 속성을 사용하여 필요에 따라 인증 인벤토리 및 관리에 관련된 다양한 동작을 전환할 수 있습니다.

자세히 알아보기

인증서 관리란?