请参阅 Discovery 工作流和权限和传感器安装要求。
此外还需收集一些信息:
在 CertCentral 的侧栏菜单中,单击 Discovery > 管理 Discovery。
在“管理扫描”页面上,单击添加扫描。
设置扫描
在“添加扫描”页的“设置扫描”下,提供必需的扫描信息。
扫描时间
配置为立即扫描或在定时扫描。
要设定未完成扫描在您停止之前运行的时长限制,选中停止超时扫描并选择最长运行时间。
设置:扫描选项
优化的扫描提供基本 SSL/TLS 证书和服务器信息以及任何发现的严重的 TLS/SSL 服务器问题。(Heartbleed、Poodle[SSLv3],FREAK、Logjam、DROWN、RC4 和 POODLE[TLS])。
选择要扫描的范围
要自定义包括在扫描结果中的信息,请选择选择扫描内容。然后根据您的需要进行自定义扫描设置。例如,如果您要指定要扫描的 TLS/SSL 服务器问题,例如,POODLE (TLS) 或 BEAST,请选择选择要扫描的 TLS/SSL 服务器问题。
添加更多扫描选项会增加扫描对网络资源的影响以及完成扫描所需的时间。
高级设置:扫描性能
使用扫描性能选项配置快速完成扫描的时间或限制扫描对网络资源的影响。
高级设置:更多设置
通过限制 TLS/SSL 服务器检查次数减少防火墙警报
使用此选项时需了解它可能会限制扫描的有效性,导致 TLS/SSL 服务器问题遗漏。
要识别 TLS/SSL 服务器问题(例如,Heartbleed),扫描有时会模拟 TLS/SSL 服务器问题以确保服务器安全。这些模拟可能触发网络上的错误防火墙警报。要避免触发此类警报,可以限制 TLS/SSL 服务器检查。
指定要扫描的端口以验证主机可用性
您在此处指定的端口仅用于确认主机可用性。
扫描流程的第一步是 ping 主机以确认其可用性。
如果在主机上禁用 Internet 控制消息协议 (ICMP) ping,则使用此设置指定可以对其扫描以确认主机可用性的端口。指定的端口数越少,扫描速度越快。
启用筛选端口登录
使用此选项记录和收集加入防火墙且关闭的端口上的数据。
保存并定时/保存并运行
完成后,请保存扫描。
将立即扫描或定时扫描。扫描完成时间取决于网络大小以及在设置期间选择的扫描性能设置。
如果扫描在入侵检测系统 (IDS) 或入侵防护系统 (IPS) 中触发错误警报,请确保将扫描列入 IDS/IPS 实用工具中的白名单。此外还将扫描配置为慢运行。扫描速度越慢,越不容易触发错误警报。您可能还要将扫描列入防火墙白名单,以允许与 digicert.com 通信。
要管理扫描,请转到扫描页(在侧栏菜单中,单击 Discovery > 管理 Discovery)。
要查看扫描详细信息或修改扫描设置,请转到扫描的详细信息页面(单击“扫描”页面上的扫描名称链接)。