검색 전 단계

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 5분

    • 검색 전 단계에는 검사 매개변수 정의 및 자격 증명 세부 정보 구성과 같은 준비 단계가 포함되어 있어 인증서 검색 프로세스를 원활하게 시작할 수 있습니다.

    디스커버리 포트를 통한

    포트 프로브 [tls_ssl_certs]가 사전 승인된 14개의 기본 포트를 자동으로 검색합니다. 포트 프로브 [tls_ssl_certs]가 사전 승인된 14개의 기본 포트를 자동으로 검색합니다.
    • SSL용 일반 포트: 443, 8443, 9443, 636(ldap), 993(imap), 995(popssl), 989, 990
    • StartTLS 포트: 25(smtp), 110, 143, 389, 21, 587(smtp)

    Shazzam 중 CI 디스커버리 프로세스의 일부로 에서는 MID 서버 스캐너를 사용하여 IP 포트 번호에서 인증서 체인 정보를 수집하고 인증서 계층 구조를 포함한 다양한 속성을 캡처합니다. MID 서버 그런 다음 이러한 인증서를 XML 페이로드로 변환하여 인스턴스와 공유합니다. 그런 다음 Shazzam 센서가 ECC 큐 항목을 탐지하고 검색된 인증서 테이블 [sn_disco_certmgmt_certificate_history]에 새 기록을 삽입합니다.

    XML 페이로드에서 다음 필드를 가져오고 검색된 인증서에 대한 Shazzam TLS 포트 프로브의 Java 코드에서 확인됩니다. 인증서 ID, revocation_status, 제목, 발급자, sans/, is_self_signed, is_ca, valid_from, valid_to, signature_algorithm, fingerprint_algorithm, key_size, serial_number 및 버전.

    디스커버리 URL을 통한

    인증서 URL [sn_disco_certmgmt_cert_url] 테이블에는 인증서 검색을 위한 URL 대상 목록이 있습니다. 또한 각 레코드에는 고유 인증서 [cmdb_ci_certificate] 테이블에 대한 선택적 참조가 있으므로 주어진 URL 정의와 관련된 인증서가 무엇인지 확인할 수 있습니다. 일정의 디스커버리 필수 매개변수가 결합되어 상태를 생성하고 초기화합니다 디스커버리 . [CertificateDiscoveryFromURLScan] 프로브는 배치에서 각 URL에 대한 인증서 체인을 검색하고 각 인증서에 대한 인증서 체인이 포함된 XML 페이로드를 출력합니다. 또한 검색한 인증서 [sn_disco_certmgmt_certificate_history] 테이블에 새 기록을 추가합니다.

    디스커버리 인증서 임포트를 통해(버전 1.1.7 인증 인벤토리 및 관리)

    인증서 임포트는 다음 매개변수에 의존하는 SSL 인증서 임포트 패턴을 통해 검색됩니다.
    • 인증서를 호스팅하는 호스트 이름/IP
    • 인증서가 있는 폴더
    • TLS_keepOriginalCertificate: 이 매개변수를 true로 설정하면 페이로드 크기가 증가하여 메모리 부족 문제가 발생할 수 있습니다.
    • Mid_temp_folder: 파일을 임시로 복사할 임시 폴더 MID 서버 입니다.
    주:
    자동 선택 MID 서버 옵션은 Windows 및 Linux 중반 조합에는 지원되지 않습니다. 원본 인증서 파일을 저장하는 데 사용되는 경우 MID 서버 호스트 이름/IP를 공백 또는 localhost로 설정해야 하며 일정에 디스커버리 대해 특정 항목을 MID 서버 선택해야 합니다.

    디스커버리 CA 기관을 통해(버전 1.1.7 인증 인벤토리 및 관리)

    GoDaddy, DigiCert, Entrust 또는 Sectigo 인증 기관을 통해 인증 인벤토리 및 관리 자격 증명을 설정하고 일정이 디스커버리 실행되면 특정 CA 패턴이 GoDaddy, DigiCert, Entrust 또는 Sectigo에 대해 REST API 호출을 수행하고 인증서 정보를 수집하여 인증서 목록을 검색한 다음 [cmdb_ci_certificate], [certificate_domain] 및 [sys_attachment] 테이블에 저장합니다.

    ca_api_url과 ca_api_version는 선택적 매개변수입니다. 패턴 매개변수 내에 이러한 매개변수가 비어 있으면 기본값이 사용됩니다. 기본값은 다음과 같습니다.
    • DigiCert - 인증서 관리(ca_api_version = v2, ca_api_url = https://www.digicert.com/services/)
    • Entrust - 인증서 관리(ca_api_version = v2, ca_api_url = https://api.entrust.net/enterprise/)
    • GoDaddy - 인증서 관리(ca_api_version = v1, ca_api_url = https://api.godaddy.com/)
    • Sectigo - 인증서 관리(ca_api_version = v1, ca_api_url = https://cert-manager.com/api/ssl/)
    GoDaddy, DigiCert, Entrust, Sectigo 패턴에 대한 인수는 다음과 같습니다. 버전 1.2.0부터 Sectigo 및 Entrust 인증 기관(CA)을 스캔하는 기능이 있습니다.
    • Start_offset: CA 기관에서 인증서를 읽기 위한 오프셋 위치로, 기본값은 0입니다.
    • 제한: start_offset에서 읽을 인증서의 수로, 기본값은 1,500입니다.
    • CredentialAlias: 서버리스 실행 패턴 구성에 추가된 CA 자격 증명에 연결된 자격 증명 별칭 또는 태그의 이름입니다.

      TLS_keepOriginalCertificate 매개변수가 true로 설정되면 인증서 파일이 인증서 CI에 첨부됩니다. 이렇게 하면 페이로드 크기가 증가하여 메모리 부족 문제가 발생할 수 있습니다.

    • IncludeCertStatus: 기본값 외에 검색할 추가 인증서 상태를 지정하기 위한 매개변수입니다.
      표 1. 인증 기관별 인증서 상태
      인증 기관 검색된 기본 상태
      세티고
      • 발급됨
      • 만료됨
      DigiCert 및 GoDaddy
      • 활성
      • 만료됨
      • 해지함
      • 취소됨
      위탁
      • 활성
      • 만료됨
      • 해지함
      각각 쉼표로 구분하여 여러 인증서 상태를 포함할 수 있습니다.
    주:
    고유 인증서[cmdb_ci_certificate] 테이블의 상태 필드는 API의 원시 상태가 아니라 인증서의 수명주기 상태를 나타냅니다. API가 발급됨, 유효, 만료됨 또는 취소됨과 같은 상태를 반환하면 고유 인증서 [cmdb_ci_certificate] 테이블에 "발급됨"으로 저장됩니다.

    검색 전 단계가 완료되면 검색 후 단계로 이동합니다.