Phase vor der Discovery

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Die Phase vor der Erkennung umfasst vorbereitende Schritte, z. B. das Definieren von Scan-Parametern und das Konfigurieren von Anmeldeinformationen, um eine reibungslose Initiierung des Zertifikat-Discovery-Prozesses zu gewährleisten.

    Discovery über Ports

    Die Port-Probe [tls_ssl_certs] scannt automatisch 14 standardmäßig vorautorisierte Ports. Die Port-Probe [tls_ssl_certs] scannt automatisch 14 standardmäßig vorautorisierte Ports.
    • Typische Ports für SSL: 443, 8443, 9443, 636 (ldaps), 993 (imaps), 995 (popssl), 989, 990
    • StartTLS-Ports: 25 (smtp), 110, 143, 389, 21, 587 (smtp)

    Im Rahmen des CI-Prozesses Discovery während Shazzam verwendet der MID-Server Scanner, um Zertifikatketteninformationen von der IP-Portnummer zu erfassen und verschiedene Attribute zu erfassen, einschließlich der Zertifikathierarchie. MID-Server wandelt diese Zertifikate dann in eine XML-Nutzlast um und gibt sie für die -Instanz frei. Der Shazzam-Sensor erkennt wiederum den Eintrag in der ECC-Warteschlange und fügt einen neuen Datensatz in die Tabelle „Erkanntes Zertifikat“ [sn_disco_certmgmt_certificate_history] ein.

    Die folgenden Felder werden aus der XML-Nutzlast abgerufen und im Java-Code der Shazzam-TLS-Port-Probe für erkannte Zertifikate überprüft: Certificate ID, Revocation_status, Subject, Issuer, Sans/, is_self_signed, is_ca, valid_from, valid_to, signature_algorithm,fingerabdruck_algorithm, key_size, serial_number und version.

    Discovery über URL

    Die Tabelle „Zertifikat-URL“ [sn_disco_certmgmt_cert_url] enthält eine Liste von URLs, die Ziele der Zertifikaterkennung darstellen. Jeder Datensatz enthält auch einen optionalen Verweis auf die Tabelle „Eindeutiges Zertifikat“ [cmdb_ci_certificate], um anzugeben, welches Zertifikat mit der angegebenen URL-Definition verknüpft ist. Die erforderlichen Parameter aus dem Zeitplan Discovery werden kombiniert, um den Status Discovery zu erstellen und zu initialisieren. Die Probe [CertificateDiscoveryFromURLScan] erkennt die Zertifikatkette für jede der URLs im Batch und gibt eine XML-Nutzlast aus, die die Zertifikatkette für jedes Zertifikat enthält. Er fügt auch einen neuen Datensatz in die Tabelle „Erkanntes Zertifikat“ [sn_disco_certmgmt_certificate_history] ein.

    Discovery über Importzertifikate (Version 1.1.7, Zertifikatbestand und -verwaltung)

    Die Importzertifikate werden über das Muster „SSL-Zertifikat importieren“ erkannt, das auf den folgenden Parametern basiert.
    • Hostname/IP, auf dem/der die Zertifikate gehostet werden
    • Ordner, in dem sich die Zertifikate befinden
    • TLS_keepOriginalCertificate: Wenn Sie diesen Parameter auf „wahr“ setzen, kann dies zu einer erhöhten Nutzlast und möglicherweise zu Problemen mit unzureichendem Arbeitsspeicher führen.
    • Mid_temp_folder: Der temporäre Ordner unter MID-Server, in den die Dateien vorübergehend kopiert werden.
    Hinweis:
    Die Option zur automatischen Auswahl MID-Server wird für MID-Kombinationen aus Windows und Linux NICHT unterstützt. Wenn der MID-Server zum Speichern der ursprünglichen Zertifikatdateien verwendet wird, müssen Hostname/IP leer oder localhost sein, und der spezifische MID-Server für den Discovery-Zeitplan muss ausgewählt sein.

    Discovery über CA-Berechtigung (Version 1.1.7 Certificate Inventory and Management)

    Sobald die Anmeldeinformationen für das Zertifikatsbestand-Management-System entweder mit der Zertifizierungsstelle GoDindi, DigiCert, Entrust oder Sectigo eingerichtet wurden und der Zeitplan Discovery ausgeführt wird, führt das spezifische CA-Muster REST-API-Aufrufe an (GoDdie, DigiCert, Entrust oder Sectigo) aus und sammelt ruft die Liste der Zertifikate ab und speichert sie in den Tabellen [cmdb_ci_certificate], [certificate_domain] und [sys_attachment].

    „ca_api_url“ und „ca_api_version“ sind optionale Parameter. Wenn diese Parameter innerhalb von Musterparametern leer gelassen werden, werden Standardwerte verwendet. Die Standardwerte umfassen:
    • DigiCert – Zertifikatverwaltung (ca_api_version = v2, ca_api_url = https://www.digicert.com/services/)
    • Entrust – Zertifikatverwaltung (ca_api_version = v2, ca_api_url = https://api.entrust.net/enterprise/)
    • GoDdies Zertifizierungsverwaltung (ca_api_version = v1, ca_api_url = https://api.goddie.com/)
    • Sectigo – Zertifikatverwaltung (ca_api_version = v1, ca_api_url = https://cert-manager.com/api/ssl/)
    Die Argumente für die Muster GoDdy, DigiCert, Entrust und Sectigo lauten wie folgt. Ab Version 1.2.0 können Sie Sectigo und Entrust Certificate Authorities (CAs) scannen.
    • Start_offset: Die Offset-Position zum Lesen von Zertifikaten von CA-Behörden mit einem Standardwert von 0.
    • Limit: Die Anzahl der Zertifikate, die ab start_offset gelesen werden sollen, mit einem Standardwert von 1500.
    • CredentialAlias: Der Name des Anmeldeinformationsalias oder Tags, der mit den CA-Anmeldeinformationen verknüpft ist und in der Konfiguration des serverlosen Ausführungsmusters hinzugefügt wurde.

      Wenn der Parameter TLS_keepOriginalCertificate auf „true“ festgelegt ist, wird die Zertifikatdatei an das Zertifikat-CI angehängt. Dies kann die Nutzlast erhöhen, was möglicherweise zu Problemen mit unzureichendem Arbeitsspeicher führt.

    • IncludeCertStatus: Ein Parameter zum Angeben zusätzlich zu den Standardwerten zu erkennender zusätzlicher Zertifikatstatus.
      Tabelle : 1. Zertifikatstatus nach Zertifizierungsstellen
      Zertifizierungsstelle Standardstatus erkannt
      Sectigo
      • Ausgegeben
      • Abgelaufen
      DigiCert und GoDdies
      • Aktiv
      • Abgelaufen
      • Widerrufen
      • Abgebrochen
      Entrust
      • Aktiv
      • Abgelaufen
      • Widerrufen
      Sie können mehrere Zertifikatstatus angeben, indem Sie die einzelnen Status durch Kommas trennen.
    Hinweis:
    Das Feld „Status“ in der Tabelle „Eindeutiges Zertifikat“ [cmdb_ci_certificate] gibt den Lebenszyklusstatus des Zertifikats an, nicht den Rohstatus aus der API. Wenn die API Status wie „Ausgestellt“, „Gültig“, „Abgelaufen“ oder „Abgebrochen“ zurückgibt, werden sie in der Tabelle „Eindeutiges Zertifikat“ [cmdb_ci_certificate] als „ausgestellt“ gespeichert.

    Sobald die Phase vor der Discovery abgeschlossen ist, fahren Sie mit der Phase nach der Discoveryfort.