Skip to main content

设置和运行扫描

在开始之前

  • 确认您要使用的传感器已安装、激活并启动。

  • 确认您的网络符合所有要求。

  • 确认您满足所有部署要求。

  • 要求具有管理员或经理权限。

请参阅 Discovery 工作流和权限传感器安装要求

收集所需信息

  • 需要使用的传感器的名称。

  • 向其分配传感器的分区(如果您在使用帐户中的分区)。

  • 要用于扫描网络的端口。

  • 要包括在扫描中的 FQDN 和 IP 地址。

  • 是否使用服务器名称指示 (SNI) 从一个单一 IP 地址为多个域服务。

设置和运行扫描

  1. 在 CertCentral 帐户的侧栏菜单中,选择 Discovery > 管理 Discovery

  2. 管理扫描页面上,选择添加扫描

  3. 设置扫描

    添加扫描页的创建扫描部分,提供必需的扫描信息:

    1. 扫描名称

      为扫描命名,使您可以轻松识别它(如果执行多次扫描,名称更加重要)。

    2. 部门

      选择要用于扫描的传感器的分区。

      在安装过程中,您将传感器分配给分区。您只能看到分配给所选分区的传感器。

      注意

      如果您的帐户未使用分区,您将看到组织名称。

    3. 端口

      指定要用于扫描网络的 SSL/TLS 证书的端口。

      使用全部以包括指定范围内的所有端口。

      使用默认以包括通常用于 SSL/TLS 证书的端口:443、389、636、22、143、110、465、8443、3389。

    4. 启用 SNI(可选)

      如果您使用服务器名称指示 (SNI) 从一个 IP 地址为多个域服务,则为该扫描启用 SNI 扫描(每个服务器最多仅限 10 个端口)。

      注意

      SNI 扫描结果中可能不含 IP 信息。

    5. 传感器

      选择要用于扫描的传感器。您只能看到分配给所选分区的传感器。

      注意

      如果您的帐户未使用分区,您将看到组织名称。

    6. 要扫描的 IP/FQDN

      包括 FQDN 和 IP 地址:

      输入需要包括在扫描中的 FQDN 和 IP 地址,然后选择包括。您可以包括单个 IP 地址 (10.0.0.1)、IP 地址范围 (10.0.0.1-10.0.0.255) 或 CIDR 格式的 IP 范围 (10.0.0.0/24)。

      排除 FQDN 和 IP 地址:

      输入您要从 IP 地址范围排除的 IP 地址,然后选择排除。您可以排除单个 IP 地址 (10.0.0.1)、IP 地址范围 (10.0.0.1-10.0.0.255) 或 CIDR 格式的 IP 范围 (10.0.0.0/24)。

    7. 在扫描列表中,找到要包括或排除在扫描中的域和子域。在操作列中选择适当的链接。

      包括所有子域 - 包括要扫描的域的所有子域。

      排除所有子域 - 排除要扫描的域的所有子域。

      添加子域编辑子域 - 从可用子域中选择扫描中要包括或排除的子域。

      删除 - 从扫描列表中删除 IP/FQDN。

    8. 完成后,选择下一步

      注意

      关于使用子域:

      • 您随时可以在扫描中添加任何级别的子域。

      • 系统只显示比域低一个级别的单个子域。

      • 只有公开列出的子域可供选择。例如,您只能在扫描中添加在公共 DNS 服务器可用或记录了 CT 日志的子域。

  4. 扫描时间

    配置为立即扫描或在定时扫描。

    要设定未完成扫描在停止之前运行的时长限制,选择停止超时扫描并选择最长运行时间。

  5. 设置:扫描选项

    优化的扫描提供基本 SSL/TLS 证书和服务器信息以及任何发现的严重的 TLS/SSL 服务器问题。(Heartbleed、Poodle [SSLv3]、FREAK、Logjam、DROWN、RC4、POODLE [TLS]、跨站点脚本、SQL 注入、跨域策略和 CSRF)。

    选择要扫描的范围

    自定义要包括在扫描结果中的信息。

    • 扫描配置的密码套件:发现服务器上配置的在 TLS/SSL 握手期间建立安全的客户端服务器通信的密码套件和 TLS/SSL 协议。

    • 启用 SSLv2、SSLv3、TLSv1.0 和 TLSv1.1:启用在握手中可以使用的 TLS/SSL 协议。

    • 每次扫描时更新主机 IP 地址:如果主机的 IP 地址经常变化,则在每次扫描时更新主机 IP 地址。

      您还可以为以下更新信息选择 OS服务器应用程序选项:

      • 操作系统

      • 服务器类型

      • 服务器应用程序

      • 应用程序版本

    • 启用 SSH 密钥发现:发现服务器上配置的 SSH 密钥。扫描识别为启用 SSH 的端口(默认端口 22)上的服务器配置的 SSH 密钥指纹、算法和 SSH 密钥身份验证方法。

      有关 SSH 密钥的更多信息,请参阅 SSH 密钥

    • 仅扫描严重的 TLS/SSL 服务器问题(速度更快):仅发现严重的 TLS/SSL 服务器问题,例如 Heartbleed、Poodle (SSLv3)、FREAK、Logjam、DROWN、RC4、POODLE (TLS)、跨站点脚本、SQL 注入、跨域策略和 CSRF。

    • 选择要扫描的 TLS/SSL 服务器问题:通过指定要扫描的 TLS/SSL 服务器问题(严重和/或不严重)进行自定义扫描设置,例如 POODLE、BEAST、SWEET32 等。

      注意

      添加更多扫描选项会增加扫描对网络资源的影响,延长完成扫描所需的时间。

  6. 高级设置:扫描性能

    使用下面的扫描性能选项配置快速完成扫描的时间或限制扫描对网络资源的影响:

    • 进攻性扫描给网络资源带来更大的负担,并向网络发送大量扫描数据包。Discovery 限制发送扫描包的数量,避免发送过量的扫描包。

      注意

      使用进攻性设置可能会触发入侵检测系统 (IDS) 或入侵防护系统 (IPS) 的错误警报。

    • 慢扫描限制扫描对网络资源的影响,减少 IDS 或 IPS 错误警报的数量。一次发送少量扫描包,等待获得响应后再发送更多扫描包。

  7. 高级设置:向扫描添加标记

    使用该选项向扫描添加标记。标记适用于在网络扫描期间找到的所有证书。使用该设置识别和管理在您的网络上或您管理的任何其他网络上配置的证书。

  8. 高级设置:更多设置

    通过限制 TLS/SSL 服务器检查次数减少防火墙警报

    使用此选项时需了解它可能会限制扫描的有效性,导致 TLS/SSL 服务器问题遗漏。

    要识别 TLS/SSL 服务器问题(例如,Heartbleed),扫描有时会模拟 TLS/SSL 服务器问题以确保服务器安全。这些模拟可能触发网络上的错误防火墙警报。要避免触发此类警报,可以限制 TLS/SSL 服务器检查。

    指定要扫描的端口以验证主机可用性

    您在此处指定的端口仅用于确认主机可用性。

    扫描流程的第一步是 ping 主机以确认其可用性。

    如果在主机上禁用 Internet 控制消息协议 (ICMP) ping,则使用此设置指定可以对其扫描以确认主机可用性的端口。指定的端口数越少,扫描速度越快。

    启用端口调试

    使用此选项记录和收集加入防火墙且关闭的端口上的数据。

  9. 保存并定时/保存并运行

    完成后,请保存扫描。

    • 如果立即运行,选择保存并运行

    • 如果希望稍后运行,请选择保存并预定

接下来

将立即扫描或定时扫描。扫描完成时间取决于网络大小以及在设置期间选择的扫描性能设置。

重要

如果扫描在入侵检测系统 (IDS) 或入侵防护系统 (IPS) 中触发错误警报,请确保将扫描列入 IDS/IPS 实用工具中的允许列表。

扫描速度越慢,越不容易触发错误警报。您可能还要将传感器列入防火墙允许列表,以允许与 digicert.com 通信。

要管理扫描,请转到管理扫描页(在侧栏菜单中,选择 Discovery > 管理 Discovery)。

要查看扫描详细信息或修改扫描设置,请转到扫描的详细信息页面(选择管理扫描页面上的扫描名称)。

  • Discovery 位置扫描设置选项卡上,查看或修改扫描设置。

  • 扫描活动选项卡上,查看当前和过去的扫描详细信息,例如,开始时间、持续时间、扫描状态和操作。

    • 如需查看已扫描的证书详情,请选择查看证书

    • 如需获取已加入防火墙并关闭的端口的相关信息,请选择下载调试报告

    • 如需查看已发现密钥的详情,请选择查看密钥

本节内容如下: