Вопрос: Как узнать, откуда пришел запрос на получение сертификата


У меня есть настройка CA на сервере Server 2012 R2, человек, который запустил сервер, покинул компанию, и я настроил новый сервер CA.

Я пытаюсь выяснить, для каких систем / URL-адресов являются сертификаты.

В списке выданных сертификатов указано следующее:

Идентификатор запроса: 71

Имя инициатора запроса: DOMAIN \ UserName

Шаблон сертификата: базовая EFS (EFS)

Серийный номер: 5f00000047c60993f6dff61ddb000000000047

Дата вступления в силу: 11/05/2015 8:46

Срок действия сертификата: 11/04/2016 8:46

Выпущено Страна / Регион:

Выпущенная организация:

Выпущено Организация: Сотрудники Org-пользователей

Выпущено Общее имя: Имя сотрудника <- Икатное имя сотрудника

Выпущено Город:

Дата выпуска:

Выпущенный адрес электронной почты:

Когда я спрашиваю у сотрудника, почему они запросили сертификат, они не помнят, почему и для какой системы.

Я ищу способ увидеть все запрошенные сертификаты и какие машины они привязаны к:

Вещи, которые я пробовал / Googled:

  1. Команда, подобная Netstat, которая могла бы сказать мне какое-либо прослушивание или установившееся соединение с сервером на 443, я могу отбросить свою логику и мышление.

  2. Я просмотрел просмотрщик событий, посмотрев отметку времени «Дата вступления в силу: 11/05/2015 8:46» и не могу найти никаких журналов, которые показывают мне что-нибудь.

  3. Я попытался посмотреть базу данных с помощью команды certutil, однако мне нужно остановить службу, прежде чем я смогу просмотреть базу данных, просматривая схему, похоже, что большая часть информации, которую я ищу, может быть там.

Если я остановлю службу, SSL-сертификаты все равно будут в порядке или пользователь получит это предупреждение SSL?

Если я возьму резервную копию базы данных, я могу переместить файл на другой компьютер и прочитать его.

Кто-нибудь знает, смогу ли я найти, какие серверы / URL-адреса используют сертификаты на моем ЦС?

Есть ли другой лучший способ найти информацию?


13
2017-11-16 16:05


Источник




Ответы:


When I ask the employee why they requested the certificate they don't remember why or what system it was for. 

Это звучит правильно. Сертификаты EFS (и многие другие) обычно выдаются и обновляются автоматически. Можно отключить EFS в политике или ограничить объем выдачи определенной группе безопасности в шаблоне.

I am looking for a way to see all requested certs and what machines they are tied to 

Сертификаты EFS обычно выдаются пользователям и неявно не ограничиваются конкретным компьютером. Существуют также другие типы сертификатов EFS, такие как агенты восстановления данных (DRA).

I tried to look at the database using certutil,

Сертификаты должны быть видны в руководстве mmc. Возможно, CA / template настроен так, чтобы не сохранять копию сертификата, но это не стандартная конфигурация.

Does anyone know if I will be able to find what servers / URL's are using the certs on my CA? 

Из ЦС? Нет. У него может быть некоторая информация, такая как тема, которая соответствует имени компьютера или имени пользователя. Также могут быть выданы сертификаты именам, которые не соответствуют имени компьютера или имени пользователя. Или сертификаты не могут быть сохранены в ЦС. Это вопрос, что каждый, кто пользуется сертификатами, спрашивает в тот или иной момент, и нет решения одного размера для всех. Сертификаты могут существовать в хранилище сертификатов компьютеров Windows, в хранилище сертификатов пользователей Windows, в реестре, в файловой системе, используемой приложением, в приложении, таком как SQL-сервер, поэтому инвентаризация там, где есть сертификаты, не такая простая, как вы думать. И даже если они найдены, это не значит, что они используются. И даже если они используются, вы все равно можете не знать, что их использует без дальнейшего расследования.

Лучший подход заключается в том, чтобы уже иметь хорошую систему отслеживания. Следующий следующий лучший подход заключается в том, чтобы ваша сеть регулярно проверялась на использование портов / сертификатов.


3
2017-11-16 16:40