Fase de pré-descoberta

Versão de lançamento: Washingtondc

Atualizado 8 de fev. de 2024

4 min. de leitura

A fase de pré-descoberta envolve etapas preparatórias, como definir parâmetros de verificação e configurar detalhes de credencial, para garantir uma iniciação sem problemas do processo de descoberta de certificado.

Descoberta por Portas

A probe de porta [tls_ssl_certs] verifica automaticamente 14 portas pré-autorizadas padrão. A probe de porta [tls_ssl_certs] verifica automaticamente 14 portas pré-autorizadas padrão.

Portas típicas para SSL: 443, 8443, 9443, 636 (ldaps), 993 (imaps), 995 (popssl), 989, 990
Portas StartTLS: 25 (smtp), 110, 143, 389, 21, 587 (smtp)

Como parte do processo de IC Descoberta durante o Shazzam, o MID Server usa scanners para coletar informações da cadeia de certificados do número da porta IP, capturando diversos atributos, incluindo a hierarquia do certificado. O MID Server então transforma esses certificados em uma carga XML, compartilhando-a com a instância. O sensor Shazzam, por sua vez, detecta a entrada da fila do ECC e insere um novo registro na tabela Certificado descoberto [sn_disco_certmgmt_certificate_history].

Os seguintes campos são extraídos da carga XML e verificados em código java da probe de porta Shazzam TLS para certificados descobertos: certificate id, revocation_status, subject, Issuer, sans/, is_self_signed, is_ca, valid_from, valid_to, signature_algorithm, digital_algorithm, key_size, serial_number e versão.

Descoberta via URL

A tabela URL do certificado [sn_disco_certmgmt_cert_url] contém uma lista de URLs a serem direcionados para a descoberta de certificado. Cada registro também tem uma referência opcional à tabela Certificado exclusivo [cmdb_ci_certificate] para ver qual certificado está relacionado à definição de URL fornecida. Os parâmetros necessários da programação Descoberta são combinados para criar e inicializar o status Descoberta. O probe [CertificateDiscoveryFromURLScan] descobre a cadeia de certificados para cada um dos URLs no lote e gera uma carga XML que contém a cadeia de certificados para cada certificado. Ele também adiciona um novo registro à tabela Certificado descoberto [sn_disco_certmgmt_certificate_history].

Descoberta por meio de Importar certificados (versão 1.1.7 Gestão e inventário de certificados)

Os certificados de importação são descobertos por meio do padrão Importar certificado SSL, que se baseia nos parâmetros a seguir.

Nome do host/IP onde os certificados estão hospedados
Pasta onde os certificados estão localizados
TLS_keepOriginalCertificate: definir este parâmetro como verdadeiro pode levar ao aumento do tamanho da carga, podendo causar problemas de falta de memória.
Mid_temp_folder: a pasta temporária em MID Server para onde os arquivos serão copiados temporariamente.

Nota:

A opção de seleção automática MID Server NÃO é compatível com as combinações de MID do Windows e do Linux. Se o MID Server for usado para armazenar os arquivos de certificados originais, o nome do host/IP deverá ser definido como em branco ou localhost e o MID Server específico deverá ser selecionado para a programação Descoberta.

Descoberta via autoridade da CA (versão 1.1.7 Gestão e inventário de certificados)

Depois que a credencial de inventário e gestão de certificados estiver configurada com a autoridade de certificação GoDaddy, DigiCert, Entrust ou Sectigo e a programação Descoberta for executada, o padrão de CA específico fará chamadas de REST API para (GoDaddy, DigiCert, Entrust ou Sectigo), coletará informações de certificado, recupera a lista de certificados e a armazena nas tabelas [cmdb_ci_certificate], [certificate_domain] e [sys_attachment].

ca_api_url e ca_api_version são parâmetros opcionais. Se esses parâmetros forem deixados em branco nos parâmetros do padrão, os valores padrão serão usados. Os valores padrão incluem:

DigiCert - Gestão de certificados (ca_api_version = v2, ca_api_url = https://www.digicert.com/services/)
Entrust - Gestão de certificados (ca_api_version = v2, ca_api_url = https://api.entrust.net/enterprise/)
GoDaddy - Gestão de certificados (ca_api_version = v1, ca_api_url = https://api.godaddy.com/)
Sectigo - Gestão de certificados (ca_api_version = v1, ca_api_url = https://cert-manager.com/api/ssl/)

Os argumentos para os padrões GoDaddy, DigiCert, Entrust e Sectigo são os seguintes. A partir da versão 1.2.0, você tem a capacidade de verificar as autoridades de certificação (CAs) do Sectigo e do Entrust.

Start_offset: a posição deslocada para ler certificados de autoridades de CA, com um valor padrão de 0.
Limite: o número de certificados a serem lidos do start_offset, com um valor padrão de 1500.
CredentialAlias: o nome do alias de credencial ou marcador vinculado às credenciais da CA, adicionado na configuração do padrão de execução sem servidor.
Se o parâmetro TLS_keepOriginalCertificate estiver definido como verdadeiro, o arquivo de certificado será anexado ao IC de certificado. Isso pode aumentar o tamanho da carga, potencialmente causando problemas de falta de memória.

IncludeCertStatus: um parâmetro para especificar estados de certificado adicionais a serem descobertos, além dos padrões.

Tabela 1. Estados de certificado por autoridades de certificação
Autoridade de Certificação	Estados padrão descobertos
Sectigo	Emitido Expirado
DigiCert e GoDaddy	Ativo Expirado Revogado Cancelado
Confiar	Ativo Expirado Revogado

Você pode incluir vários status de certificado separando cada um deles com vírgulas.

Nota:

O campo de estado na tabela Certificado exclusivo [cmdb_ci_certificate] denota o estado do ciclo de vida do certificado, não o estado bruto da API. Se a API retornar estados como emitido, válido, expirado ou cancelado, eles serão armazenados como "emitidos" na tabela Certificado exclusivo [cmdb_ci_certificate].

Quando a fase de pré-descoberta for concluída, passe para a fase de pós-descoberta.