Phase vor der Erkennung

  • Freigeben Version: Washingtondc
  • Aktualisiert 8. Februar 2024
  • 3 Minuten Lesedauer

    • Die Phase vor der Erkennung umfasst vorbereitende Schritte, z. B. das Definieren von Scan-Parametern und das Konfigurieren von Anmeldeinformationsdetails, um eine reibungslose Initiierung des Zertifikaterkennungsprozesses sicherzustellen.

    Discovery über Ports

    Die Port-Probe [tls_ssl_certs] scannt automatisch 14 standardmäßig vorautorisierte Ports. Die Port-Probe [tls_ssl_certs] scannt automatisch 14 standardmäßig vorautorisierte Ports.
    • Typische Ports für SSL: 443, 8443, 9443, 636 (ldaps), 993 (imaps), 995 (popssl), 989, 990
    • StartTLS-Ports: 25 (smtp), 110, 143, 389, 21, 587 (smtp)

    Als Teil des CI-Prozesses Discovery während Shazzam verwendet MID-Server Scanner, um Zertifikatketteninformationen von der IP-Portnummer zu erfassen und verschiedene Attribute zu erfassen, einschließlich der Zertifikathierarchie. Der MID-Server wandelt diese Zertifikate dann in eine XML-Nutzlast um und gibt sie für die Instanz frei. Der Shazzam-Sensor erkennt wiederum den ECC-Warteschlangeneintrag und fügt einen neuen Datensatz in die Tabelle „Erkannte Zertifikate“ [sn_disco_certmgmt_certificate_history] ein.

    Die folgenden Felder werden aus der XML-Nutzlast abgerufen und in Java-Code von der Shazzam TLS-Port-Probe für erkannte Zertifikate überprüft: certificate id, revocation_status, subject, Issuer, sans/, is_self_signed, is_ca, valid_from, valid_to, signature_algorithm,fingerabdruck_algorithm, key_size, Seriennummer und Version.

    Discovery über URL

    Die Tabelle „Zertifikat-URL“ [sn_disco_certmgmt_cert_url] enthält eine Liste von URLs, die Ziele der Zertifikaterkennung darstellen. Jeder Datensatz enthält auch einen optionalen Verweis auf die Tabelle „Eindeutiges Zertifikat“ [cmdb_ci_certificate], um anzugeben, welches Zertifikat mit der angegebenen URL-Definition verknüpft ist. Die erforderlichen Parameter aus dem Zeitplan Discovery werden kombiniert, um den Status Discovery zu erstellen und zu initialisieren. Die Probe [CertificateDiscoveryFromURLScan] erkennt die Zertifikatkette für jede der URLs im Batch und gibt eine XML-Nutzlast aus, die die Zertifikatkette für jedes Zertifikat enthält. Er fügt auch einen neuen Datensatz in die Tabelle „Erkanntes Zertifikat“ [sn_disco_certmgmt_certificate_history] ein.

    Discovery über Zertifikate importieren (Version 1.1.7 Certificate Inventory and Management)

    Die Importzertifikate werden mithilfe des Musters „Import SSL Certificate“ erkannt, das auf den folgenden Parametern basiert.
    • Name/IP des Hosts, auf dem die Zertifikate gehostet werden
    • Ordner, in dem sich die Zertifikate befinden
    • TLS_keepOriginalCertificate: Das Festlegen dieses Parameters auf „wahr“ kann zu einer Erhöhung der Nutzlast führen, was möglicherweise zu Problemen aufgrund von Speichermangel führt.
    • Mid_temp_folder: Der temporäre Ordner auf dem MID-Server, in den Dateien vorübergehend kopiert werden.
    Hinweis:
    Die Option zur automatischen Auswahl MID-Server wird für Windows- und Linux-MID-Kombinationen NICHT unterstützt. Wenn der MID-Server zum Speichern der ursprünglichen Zertifikatdateien verwendet wird, müssen Hostname/IP leer oder localhost sein, und der spezifische MID-Server für den Discovery-Zeitplan muss ausgewählt sein.

    Discovery über Zertifizierungsstelle (Version 1.1.7 Certificate Inventory and Management)

    Sobald die Anmeldeinformationen für Certificate Inventory and Management mit der Zertifizierungsstelle GoDaddy, DigiCert, Entrust oder Sectigo eingerichtet wurden und der Zeitplan Discovery ausgeführt wird, führt das spezifische CA-Muster REST API-Aufrufe an (GoDaddy, DigiCert, Entrust oder Sectigo) durch und erfasst Zertifikatinformationen, ruft die Liste der Zertifikate ab und speichert sie in den Tabellen [cmdb_ci_certificate], [certificate_domain] und [sys_attachment].

    ca_api_url und ca_api_version sind optionale Parameter. Wenn diese Parameter innerhalb der Musterparameter leer gelassen werden, werden Standardwerte verwendet. Die Standardwerte umfassen:
    • DigiCert – Certificate Management (ca_api_version = v2, ca_api_url = https://www.digicert.com/services/)
    • Entrust – Certificate Management (ca_api_version = v2, ca_api_url = https://api.entrust.net/enterprise/)
    • GoDaddy – Zertifikatverwaltung (ca_api_version = v1, ca_api_url = https://api.godaddy.com/)
    • Sectigo - Certificate Management (ca_api_version = v1, ca_api_url = https://cert-manager.com/api/ssl/)
    Die Argumente für die Muster GoDaddy, DigiCert, Entrust und Sectigo lauten wie folgt. Ab Version 1.2.0 haben Sie die Möglichkeit, Sectigo- und Entrust-Zertifizierungsstellen (CAs) zu scannen.
    • Start_offset: Die Offset-Position zum Lesen von Zertifikaten von Zertifizierungsstellen mit dem Standardwert 0.
    • Grenzwert: Die Anzahl der Zertifikate, die aus start_offset gelesen werden sollen, mit einem Standardwert von 1500.
    • CredentialAlias: Der Name des Anmeldeinformationsalias oder Tags, der mit den CA-Anmeldeinformationen verknüpft ist und in der Konfiguration des serverlosen Ausführungsmusters hinzugefügt wird.

      Wenn der Parameter TLS_keepOriginalCertificate auf „true“ festgelegt ist, wird die Zertifikatdatei an das Zertifikat-CI angehängt. Dies kann die Nutzlastgröße erhöhen, was möglicherweise zu Problemen aufgrund von Speichermangel führt.

    • IncludeCertStatus: Ein Parameter zum Angeben zusätzlicher Zertifikatstatus, die zusätzlich zu den Standardwerten erkannt werden sollen.
      Tabelle : 1. Zertifikatstatus nach Zertifizierungsstellen
      Zertifizierungsstelle Standardstatus erkannt
      Sectigo
      • Ausgegeben
      • Abgelaufen
      DigiCert und GoDaddy
      • Aktiv
      • Abgelaufen
      • Widerrufen
      • Storniert
      Entrust
      • Aktiv
      • Abgelaufen
      • Widerrufen
      Sie können mehrere Zertifikatstatus angeben, indem Sie sie jeweils durch Kommas trennen.
    Hinweis:
    Das Statusfeld in der Tabelle „Eindeutiges Zertifikat“ [cmdb_ci_certificate] gibt den Lebenszyklusstatus des Zertifikats an, nicht den Rohstatus aus der API. Wenn die API Status wie „Ausgegeben“, „Gültig“, „Abgelaufen“ oder „Abgebrochen“ zurückgibt, werden sie in der Tabelle „Eindeutiges Zertifikat“ [cmdb_ci_certificate] als „ausgestellt“ gespeichert.

    Sobald die Phase vor der Erkennung abgeschlossen ist, fahren Sie mit der Phase nach der Erkennungfort.