TLS 인증서에 대한 가시성

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기13분

    • 인증 인벤토리 및 관리 애플리케이션은 검색에서 기존 CI 기반의 Discovery 일정을 통해 특정 포트에서 인증을 자동으로 검색하도록 허용합니다. 또한 Discovery 일정을 생성하여 특정 URL을 검색할 수 있습니다.

    ServiceNow Store에서는 새로운 애플리케이션과 ServiceNow에서 제작하는 애플리케이션에 대한 업데이트를 정기적으로 릴리스합니다. 이미 애플리케이션이 있는 경우 최신 버전을 다운로드하여 ServiceNow 제품의 기존 환경을 개선할 수 있습니다. 애플리케이션이 스토어에 릴리스될 때마다 다양한 기능이 제공하거나 개선되기 때문에 특정 릴리스에서 사용 가능한 컨텐츠 및 기능은 본 문서에서 버전 번호별로 확인할 수 있습니다.

    버전 1.1.7 인증 인벤토리 및 관리에서는 임포트된 인증서 목록을 추가하고 GoDaddy 및 DigiCert 등의 인증 기관(CA)에서 발급된 인증서를 검색할 수 있습니다. 버전 1.2.0에서는 Sectigo 및 Entrust CA를 검색할 수 있습니다.

    버전 1.3.8 인증 인벤토리 및 관리에서 애플리케이션은 DigiCert에 대한 기존 인증 기관 패턴이 개선되어 CA 신뢰 인증서 검색의 일부로 다음 필드를 수집할 수 있습니다. 이러한 모든 필드는 인증서 확장 [sn_disco_certmgmt_certificate_extension] 테이블에 저장됩니다.
    • 인증서 ID
    • 주문 ID
    • 지문
    • 일련 번호
    • 인증서 상태

    1500개를 초과하는 인증서로 인증서 또는 Discovery CA Trust를 임포트하려면 둘 이상의 서버리스 패턴이 구성된 Discovery 일정을 생성하십시오. 각 패턴 실행은 최대 1500개의 인증서 검색을 지원합니다.

    실행 패턴

    모든 인증서를 검색하려면 limit(기본값 1500)와 start_offset(기본값 0)을 그에 따라 구성해야 합니다. 예를 들어 최대 6천개의 인증서를 임포트하려면 start_offset이 0, 1500, 3000, 4500인 서버리스 패턴 4개를 추가합니다. Start_offset 및 limit 매개변수는 아래와 같이 구성됩니다.

    패턴 구성

    포트 검색을 통한 인증 검색 실행

    TLS 포트 프로브 [tls_ssl_certs]를 사용 설정하면 검색가 기존 CI 검색 일정을 통해 자동으로 사전 승인된 포트 14개를 검색합니다.

    시작하기 전에

    필요한 역할: admin 또는 discovery_admin

    프로시저

    1. TLS 포트 프로브 [tls_ssl_certs]를 활성화합니다.
      1. 다음으로 이동 검색 정의 > 포트 프로브.
      2. tls_ssl_certs를 엽니다.
      3. 활성 확인란을 클릭하여 프로브를 활성화한 다음 변경 내용을 저장합니다.
        새로 설치하는 경우 이 상자는 기본적으로 선택되지 않습니다.
    2. IP 서비스를 추가하여 TLS 포트 프로브를 구성할 수 있습니다.
      1. 다음으로 이동 검색 정의 > IP 서비스.
      2. 포트를 사용하여 새 IP 서비스를 생성합니다.
    3. TLS 포트 프로브를 구성합니다.
      포트 프로브 정의를 편집하여 추가 포트를 최대 138개까지 추가하거나 기존 포트를 제거할 수 있습니다.
      1. 다음으로 이동 검색 정의 > 포트 프로브.
      2. tls_ssl_certs를 엽니다.
      3. 서비스에 의해 트리거됨 옆에 있는 잠금 아이콘을 클릭하여 이 필드의 잠금을 해제합니다.
      4. 목록에서 포트를 삭제하거나 검색 영역에서 더 추가한 다음 변경 내용을 저장합니다.

    결과

    그러면 기존 검색 일정이 지정된 포트의 모든 인증서를 검색합니다. 인증 관리 대시보드에서 결과를 모니터링할 수 있습니다.

    URL 검색을 통한 인증서 검색 실행

    URL 검색에서 인증서를 검색하려면 개별 URL을 수동으로 추가한 다음 새 인증서 검색 일정을 설정해야 합니다.

    시작하기 전에

    필요한 역할: admin 또는 discovery_admin
    주:
    URL 검색 중에 서버에서 사용할 수 있는 인증서만 검색할 수 있습니다. 사용 가능한 인증서를 확인하려면 openssl s_client -showcerts -connect <URL>:<PORT> </dev/null 명령을 사용합니다.

    프로시저

    1. 다음으로 이동 모두 > 인증서 관리 > 인증 검색 소스 URL.
    2. 새로 만들기를 클릭하여 테이블에 개별 URL을 추가합니다.
      정확한 결과를 얻으려면 이 형식으로 URL을 입력해야 합니다. 포트는 선택 사항이며 포트가 제공되지 않은 경우 기본값 scheme://host:port를 사용합니다.

      예시: https://www.servicenow.com 또는 https://servicenow.com:443, ldaps://myldap.com 또는 ldaps://myldap.com:636.

    3. 다음 필드를 사용하여 검색 일정을 생성합니다.
      검색 일정을 설정하는 방법에 관한 자세한 내용은 가로 검색 예약을 참조하십시오.
      1. Discovery: 인증을 선택합니다.
      2. 인증 검색 유형: URL 인증 검색을 선택합니다.
      3. 배치 크기는 변경을 권장하지 않는 한 그대로 둡니다.
    4. 인증 URL 탭에서 편집을 클릭하여 다른 URL을 추가하거나 삭제한 다음 제출을 클릭합니다.
    5. HTTP(S) 엔드포인트 [cmdb_ci_endpoint_http] 테이블의 URL을 검색에 포함하려면 확인란을 클릭합니다.

    결과

    검색일정이 실행되면 자동으로 지정된 URL의 인증서를 검색하고 cmdb_ci_endpoint_http 테이블에서 모든 URL을 가져옵니다. 그런 다음 sn_disco_certmgmt_cert_url_sched_m2m에서 URL과 일정 사이의 매핑을 생성합니다.

    기본적으로 서비스 매핑이 사용 설정되어 있으면 cmdb_ci_endpoint_http에서 항목을 만들 때 HTTP 엔드포인트와 애플리케이션 간에 관계가 생성됩니다. 예를 들어 Amazon 애플리케이션은 amazon.com에 자동으로 연결됩니다.

    관계는 cmdb_ci_endpoint_http[parent] --> [Implement End Point To::Implement End Point From] --> cmdb_ci_appl[child]입니다.

    위의 관계가 존재하는 경우 URL 인증서 검색이 인증서와 애플리케이션 간에 추가적으로 관계를 생성 합니다. 이 관계는 cmdb_ci_appl[parent] --> [Uses::Used by] --> cmdb_ci_certificate[child]입니다.

    주:
    URL Discovery 일정은 서버 CI를 생성하지 않습니다.

    일괄 인증서 업로드 사용

    인증 인벤토리 및 관리 버전 1.2.0부터 SSL 인증서를 일괄적으로 임포트하여 시간과 자원을 절약할 수 있습니다. 한 개의 .xsla 파일에 최대 5000개의 인증서를 업로드할 수 있습니다.

    시작하기 전에

    필요한 역할: 기본 관리자는 pki_user 및 pki_admin입니다. 다음 역할이 있는 사용자는 일괄 인증서 업로드에 접근할 수 있습니다.
    • sn_disco_certmgmt.pki_user
    • sn_disco_certmgmt.pki_admin

    프로시저

    1. 다음으로 이동 모두 > 인증서 관리 > 인증서 대량 업로드.
    2. 일괄 업로드 페이지에서 템플릿 파일 다운로드(.xsla) 링크를 클릭하여 sample_cmdb_ci_certificate .xslm 파일을 다운로드합니다.
    3. 다운로드한 sample_cmdb_ci_certificate xlsx를 엽니다.
    4. 열의 값을 샘플로 사용하고 해당 열에 SSL 인증서의 속성을 추가합니다.
      Excel 시트의 각 행은 CI 인증서입니다. 다음 필수 열을 입력해야 합니다.
      • root_issuer
      • issuer
      • subject_common_name
      • issuer_common_name
      • fingerprint
      • issuer_distinguished_name
      • subject_distinguished_name
      • fingerprint_algorithm
      • valid_to: valid_fom 미만일 수 없습니다. 밀리초 단위. 예를 들어 1586789478000은 2020년 4월 13일 14시 51분 18초를 나타냅니다.
      • valid_from: 밀리초 단위. 예를 들어 1586789478000은 2020년 4월 13일 14시 51분 18초를 나타냅니다.
      • signature_algorithm
      • key_size
      • 상태: 발급됨, 설치됨, 해지됨, 폐기됨 또는 기타
      주:
      인증서의 체인 관계를 유지하려면 모든 인증서의 root_issuer 열에는 루트 인증서의 지문, issuer 열에는 발급자의 지문이 있어야 합니다. 자체 서명 인증서의 경우 root_issuerissuer는 인증서 지문의 값을 가져야 합니다.
    5. .xlsx 파일을 저장합니다.
    6. 인증서 관리 > 인증서 일괄 업로드로 이동합니다.
    7. 파일 찾아보기를 클릭하고 완료된 .xlsx파일을 선택합니다.
    8. 업로드를 클릭합니다.

    결과

    주:

    업로드 중에 오류가 발생할 경우 경고 메시지와 오류 로그 링크가 나타납니다. 관리자 역할을 가진 사용자만 이러한 로그를 볼 수 있습니다. 필수 필드가 비어 있거나 valid_from epoch 값이 valid_to를 초과하는 경우 오류가 발생할 수 있습니다.

    파일이 성공적으로 업로드되면 View All 리디렉션 링크와 함께 성공 메시지가 나타납니다. 고유 인증서 [cmdb_ci_certificate] 테이블에 추가된 인증서 목록을 볼 수 있습니다.

    인증서 파일 임포트를 통한 인증서 검색

    버전 1.1.7 인증 인벤토리 및 관리에서는 패턴 기반 검색을 사용하여 파일을 시스템으로 임포트하면 인증서 파일에서 인증서를 검색할 수 있습니다. TLS_keepOriginalCertificate가 거짓으로 설정되어 있는지 확인하십시오.

    시작하기 전에

    필요한 역할: admin 또는 discovery_admin
    주:
    인증은 다음 형식 중 하나이어야 합니다.
    • .cert
    • .pem
    • .txt
    • .der

    이 태스크 정보

    인증 임포트는 다음을 사용하는 패턴 임포트 SSL 인증을 사용하여 검색됩니다.
    • 서버: 인증서가 호스트된 호스트 이름 또는 IP 주소입니다. 인증서를 MID 서버에서 임포트하는 경우 로컬 호스트를 서버 입력 매개변수로 지정하고 'temp_certificate_folder'를 비워 둘 수 있습니다.
    • server_certificate_folder: 인증서가 있는 서버의 폴더 경로입니다.
    • TLS_keepOriginalCertificate 매개변수: TLS_keepOriginalCertificate 매개변수가 true로 설정된 경우 페이로드 크기가 증가하여 메모리 부족 문제가 발생할 수 있습니다. 이 매개변수는 false로 설정되어야 합니다.
    • temp_certificate_folder: 파일을 임시로 복사할 MID 서버의 폴더입니다.

    프로시저

    1. 다음 필드를 사용하여 검색 일정을 생성합니다.
      검색 일정을 설정하는 방법에 관한 자세한 내용은 가로 검색 예약을 참조하십시오.
      1. Discovery: 인증 임포트 선택
      2. 인증 검색 유형: 인증 임포트를 선택합니다.
      3. MID Server 선택 메서드: 특정 MID Server를 선택합니다.
      4. MID Server를 선택하여 원하는 MID Server를 선택합니다.
      5. 인증이 있는 Windows 또는 Linux 호스트 컴퓨터에 대한 자격 증명을 추가합니다.
      6. 필요한 필드를 입력한 다음 저장합니다.
    2. 서버리스 실행 패턴 탭에서 새로 만들기를 클릭하여 SSL 인증 임포트 패턴을 추가한 다음 제출을 클릭합니다.

    결과

    검색 일정을 실행하면 파일을 자동으로 검색합니다. 인증 관리 대시보드에서 결과를 모니터링할 수 있습니다.

    인증 임포트를 통한 인증서 체인 관계 유지

    인증 체인 관계를 유지하기 위해 산업 표준 .txt 확장명을 사용합니다. 인증 체인 관계는 다른 파일 확장명으로는 유지되지 않습니다. .txt 인증 체인 파일에서 필요한 인증서 순서는 서버 인증서, 중간 인증서, 루트 인증서입니다.

    사용 사례:
    • .cert 또는 .pem과 같은 형식의 인증서를 두 개 이상 찾으면 첫 번째 인증서만 고려됩니다. 다른 인증서는 처리되지 않으며 인증서 체인 관계가 유지되지 않습니다.
    • .txt 확장명으로 한 개의 인증만 있는 경우 인증 관계를 유지하지 않고 서버 인증으로 간주됩니다.
    • 인증이 .txt 확장명으로 두 개인 경우 첫 번째 인증은 서버 인증으로 간주되고 두 번째 인증은 중간 인증이 없는 루트 인증으로 간주됩니다.
    주:
    마지막 URL/IP 검색 실행에 따라 인증서 체인 관계가 업데이트됩니다. 예를 들어 인증서 체인 관계가 없는 파일이 임포트되면 동일한 인증서(지문)에 대한 기존의 모든 체인 관계가 중단됩니다.

    인증서 관리 자격 증명 유형에 대한 자격 증명 식별자 구성

    GoDaddy, DigiCert, Sectigo 등의 CA 유형의 TLS 인증서 검색에 대한 외부 저장소 자격 증명을 지원합니다. 이를 사용하려면 특정 인증서 관리 자격 증명 유형의 인스턴스에 자격 증명 식별자를 구성해야 합니다.

    시작하기 전에

    필요한 역할: 관리자

    프로시저

    1. 다음으로 이동 모두 > 검색 > 자격 증명.
    2. 새로 만들기를 클릭합니다.
    3. 자격 증명 유형을 인증서 관리 자격 증명으로 선택합니다.
    4. 자격 증명 양식에서 외부 자격 증명 저장소 확인란을 선택합니다.
    5. 자격 증명 별칭자격 증명 ID 필드에 정보를 입력합니다.
      자격 증명 ID와 자격 증명 해결 프로그램 파일의 Arg_ID가 동일해야 합니다.
    6. 제출을 클릭합니다.

    인증 기관 쿼리를 통한 인증 검색 실행

    인증 인벤토리 및 관리는 인증 기관(CA)에서 프로비저닝된 TLS 인증서를 검색할 수 있습니다. 다양한 인증 기관 벤더에 패턴을 사용할 수 있습니다.

    시작하기 전에

    필요한 역할: pki_admin 또는 discovery_admin

    검색하는 동안 패턴은 다음과 같은 API 요소를 사용합니다. 인스턴스의 자격 증명에 추가된 사용자에게 다음과 같은 쿼리를 보낼 수 있는 권한이 있어야 합니다.

    CA API 요소
    GoDaddy
    • * /v1/certificates
    • */v1/certificates/{certificate_id}/download
    DigiCert
    • * /services/v2/order/certificate
    • * /services/v2/certificate/{certificate_id}/chain
    Entrust
    • * / v2/certificates
    • * / v2/certificates/{certificate_id}
    Sectigo
    • * /cert-manager/api/ssl/v1
    • * /cert-manager/api/ssl/v1/collect/{certificate_id}/pem
    인증 인벤토리 및 관리 버전 1.1.7에서 사용할 수 있는 패턴은 다음과 같습니다.
    • GoDaddy
    • DigitCert
    인증 인벤토리 및 관리 버전 1.2.0에서 사용할 수 있는 패턴은 다음과 같습니다.
    • Entrust
    • Sectigo

    프로시저

    1. 원하는 경우 자격 증명 별칭을 생성합니다.
      Discovery에 대한 자격 증명 별칭을 참조하십시오.
      새 자격 증명에 대해 새 자격 증명 별칭을 생성합니다. 여러 자격 증명의 자격 증명 별칭이 동일한 경우 검색 작업 시 먼저 자격 증명을 취득한 다음 검색를 시작합니다.
    2. CA에 대한 새 자격 증명 유형을 생성합니다.
      1. 다음으로 이동 검색 > 자격 증명 을 클릭한 다음, 신규를 클릭하십시오.
      2. 인증 관리 자격 증명을 선택합니다.
      3. 잠금 아이콘을 클릭하여 자격 증명 별칭 목록의 잠금을 해제합니다.
        그러면 별칭이 자격 증명에 매핑됩니다.
      4. 유형 지정: 자격 증명을 선택합니다.
      5. CA 유형을 선택합니다.
        사용 가능한 유형은 GoDaddy, Digicert, Entrust 또는 Sectigo입니다.
      6. 선택한 CA 유형에 해당하는 필드에 정보를 입력합니다.

        CA마다 양식 필드가 다릅니다. 자세한 내용은 API 키 자격 증명을 참조하십시오. 각 CA 양식의 아래 예시를 참조하십시오.

        그림 1. GoDaddy 양식
        godaddy
        그림 2. DigiCert 양식
        digicert
        그림 3. Entrust 양식
        entrust
        그림 4. Sectigo 양식
        sectigo
    3. 다음 필드를 사용하여 검색 일정을 생성합니다.
      검색 일정을 설정하는 방법에 관한 자세한 내용은 가로 검색 예약을 참조하십시오.
      1. Discovery: 인증을 선택합니다.
      2. 인증 검색 유형: CA 신뢰 검색을 선택합니다.
      3. MID Server 선택 메서드: 자동 선택 또는 특정 MID Server를 선택합니다.
      4. 필요한 다른 필드를 입력한 다음 저장합니다.
    4. 서버리스 실행 패턴 탭에서 새로 만들기를 클릭하여 Entrust 패턴 등 예시에 필요한 CA 패턴을 추가하고 제출을 클릭합니다.
      인증서 상태 포함을 선택하면 여러 인증서 상태를 쉼표로 구분하여 추가할 수 있습니다.

    결과

    검색 일정을 실행하면 파일이 자동으로 검색됩니다. 인증 관리 대시보드에서 결과를 모니터링할 수 있습니다.

    인증 인벤토리 및 관리 사용자 지정

    Discovery 속성을 사용하면 인증 인벤토리 및 관리의 몇 가지 양상을 사용자 지정할 수 있습니다.

    시작하기 전에

    필요한 역할: admin 또는 discovery_admin

    프로시저

    다음으로 이동 모두 > 검색 정의 > 속성 이러한 Discovery 속성을 편집하려면:
    • glide.discovery.certs.cert_admin_user_id
    • glide.discovery.certs.days_before_expiration_to_create_renewal_task
    • glide.discovery.certs.enable_incident_creation_for_expired_certificates
    • glide.discovery.certs.enable_renewal_task_creation_for_discovered_certificates
    • glide.discovery.certs.slack_channel_id
    인증 검색 참조 정보 링크 인증 검색 참조 정보