Exigences d'installation d'un capteur

Avant d’installer un capteur sur un ordinateur de votre réseau, vérifiez que cet ordinateur dispose de la configuration matérielle et logicielle minimale requise. Les capteurs DigiCert doivent également respecter les exigences de déploiement et de réseau avant de pouvoir exécuter votre première analyse.

Pour configurer un réseau correctement, les noms d’hôte de l’appareil hébergeant le capteur doivent être résolubles. Par exemple, pour résoudre un nom d’hôte sur un serveur Red Had Enterprise Linux, vous devez l’ajouter à /etc/hosts (dans le cas d’une configuration non standard).

L’hôte du capteur doit pouvoir accéder au service cloud CertCentral et aux adresses IP ciblées.

Service cloud CertCentral

Les capteurs doivent pouvoir communiquer avec le service cloud CertCentral pour recevoir des instructions quant au moment où exécuter les analyses et pour envoyer des mises à jour d’inventaire lorsque de nouveaux certificats sont découverts.

• HTTPS sortant (port 443)
  Pour permettre un accès direct ou par proxy au service cloud CertCentral, un hôte de capteur doit pouvoir utiliser le protocole HTTPS (port 443) sortant.
  Remarque : Si une ancienne version (v3.8.25 ou plus ancienne) du capteur est installée, assurez-vous qu’il a accès aux ports HTTP (80) et HTTPS (443) sortants.
• Adresse IP du service cloud CertCentral
  Si vous utilisez un pare-feu, il doit être ouvert à la plage d’adresses IP : 216.168.244.42. Dans le cas contraire, le capteur ne pourrait pas transférer les informations d’analyse à Discovery dans CertCentral.

Adresses IP cibles

Les règles de pare-feu ou les listes de contrôle d’accès doivent autoriser le capteur à atteindre les adresses IP cibles que vous souhaitez analyser.

Communications avec le serveur proxy

Pour qu’une analyse se déroule comme prévu, le capteur doit pouvoir communiquer avec le service cloud CertCentral afin de recevoir les instructions concernant la détection des certificats et signaler les mises à jour de l’inventaire de certificats. Consultez la page Configurer un capteur pour autoriser les communications avec un serveur proxy.

Conteneurs Docker et interfaces réseau

Par défaut, les capteurs sous forme de conteneurs Docker utilisent un réseau par pont. Un réseau docker est associé à une interface par pont sur la machine hôte et des règles de pare-feu sont définies de manière à filtrer le trafic entre ces interfaces.

Les conteneurs Docker qui partagent le même réseau docker et la même interface par pont sur l'hôte, mais sont isolés les uns des autres par le pare-feu, peuvent communiquer ensemble via le réseau par pont.

Pour afficher une liste des interfaces Docker, lancez docker network ls.

Pour obtenir des informations sur les interfaces Docker, lancez docker inspect <docker_container_ID> | grep sensor.

Installez le capteur à un endroit du réseau où il peut accéder aux noms de domaine complets (Fully Qualified Domain Names) et aux adresses IP que vous souhaitez analyser. Nous vous recommandons d’installer un capteur par segment de réseau ininterrompu.

Vous n’avez besoin de capteurs supplémentaires que si votre réseau :

• est segmenté par des pare-feux ou des routeurs ;
• comprend plusieurs LAN ou segments de réseau.

Des capteurs supplémentaires peuvent également s’avérer utiles pour analyser un grand nombre d’adresses IP et de ports. Le fait de fractionner les larges plages IP en plusieurs segments d’analyses vous permet de réduire l’impact des analyses sur vos ressources réseau et d’accélérer leur exécution.

• Privilèges racine
• Version 64 bits et paramètres régionaux des États-Unis requis
• 2 Go de RAM (4 Go recommandés)
• 2 Go d’espace disque libre (minimum)

• Exécution en tant qu’administrateur
• Version 64 bits
• Microsoft .NET Framework 4.x
• 2 Go de RAM (4 Go recommandés)
• 2 Go d’espace disque libre (minimum)

• Accès administrateur
• Version 64 bits
• 2 Go de RAM (4 Go recommandés)
• 2 Go d’espace disque libre (minimum)