Prüfen Sie, bevor Sie einen Sensor auf einem Computer in Ihrem Netzwerk installieren, ob der Computer die Mindestanforderungen an Hardware und Software erfüllt. Auch die DigiCert-Sensoren haben Bereitstellungs- und Netzwerkanforderungen, die erfüllt sein müssen, bevor Sie Ihre ersten Scan durchführen.
Für eine erfolgreiche Konfiguration eines Sensors müssen die Hostnamen für das Host-Gerät des Sensor auflösbar sein. Um z. B. den Hostnamen auf einem Red Hat Enterprise Linux-Server aufzulösen, fügen Sie ihn zu /etc/hosts hinzu (bei vom Standard abweichenden Konfigurationen).
Der Sensor-Host muss in der Lage sein, auf den CertCentral-Cloud-Service und Ihre Ziel-IP-Adresse zuzugreifen.
CertCentral-Cloud-Service
Die Sensoren müssen in der Lage sein, mit der CertCentral-Cloud zu kommunizieren, um zu Anweisungen erhalten, wann Scans durchzuführen und Inventar-Updates zu senden sind, wenn neue Zertifikate entdeckt werden.
Ziel-IP-Adressen
Die Firewall-Regeln oder Zugriffssteuerungslisten müssen dem Sensor erlauben, die Ziel-IP-Adressen zu erreichen, die Sie scannen wollen.
Proxyserver-Kommunikation
Für einen erfolgreichen Scan muss der Sensor mit dem CertCentral-Cloud-Service kommunizieren können, um Anweisungen bezüglich der Zertifikatserkennung zu erhalten und über Zertifikatsinventar-Updates zu berichten. Siehe Konfiguration eines Sensors für die Kommunikation über einen Proxyserver.
Docker-Container und Netzwerkschnittstellen
Docker-Sensor-Container verwenden standardmäßig ein Bridge-Netzwerk. Ein Docker-Netzwerk ist mit einer Bridge-Schnittstelle auf dem Host verbunden und es werden Firewall-Regeln definiert, um den Verkehr zwischen diesen Schnittstellen zu filtern.
Docker-Container, die dasselbe Docker-Netzwerk und dieselbe Host-Brückenschnittstelle nutzen, aber durch die Firewall voneinander isoliert sind, können über das Bridge-Netzwerk miteinander kommunizieren.
Um eine Liste der Docker-Schnittstellen anzuzeigen, führen Sie docker network ls aus.
Um Informationen über Docker-Schnittstellen zu erhalten, führen Sie docker inspect <docker_container_ID> | grep sensor aus.
Die Proxykonfiguration für den Sensor ermöglicht diesem, mit dem CertCentral-Cloud-Service zu kommunizieren. Die Proxykonfiguration ermöglicht dem Sensor nicht, einen Host zu scannen.
Installieren Sie den Sensor dort, wo er Zugriff auf den vollständig qualifizierten Domänennamen (FQDNs) und die IP-Adressen hat, die Sie scannen wollen. Wir empfehlen die Installation eines Sensors pro unterbrechungsfreiem Netzwerksegment.
Sie benötigen nur zusätzliche Sensoren, falls Ihr Netzwerk:
Zusätzliche Sensoren können auch nützlich sein beim Scannen einer großen Zahl von IP-Adressen und Ports. Das Teilen großer IP-Bereiche über mehrere Scans erlaubt Ihnen, die Auswirkungen der Scans auf Ihre Netzwerkressourcen zu verringern und Scans schneller abzuschließen.