Как узнать, откуда поступил запрос на сертификат
У меня есть установка CA на Server 2012 R2, человек, который управлял сервером, покинул компанию, и я настроил новый сервер CA.
Я пытаюсь выяснить, для каких систем / URL предназначены сертификаты.
В списке выданных сертификатов есть следующие:
Идентификатор запроса: 71
Имя запрашивающего: DOMAIN\UserName
Шаблон сертификата: Базовая EFS (EFS)
Серийный номер: 5f00000047c60993f6dff61ddb000000000047
Дата вступления в силу сертификата: 05.11.2015, 8:46
Дата окончания действия сертификата: 11.04.2016, 8:46
Страна / регион выдачи:
Выданная организация:
Выданная организационная единица: сотрудники пользователей организации
Выданное общее имя: имя сотрудника <- точное имя сотрудника
Выданный Город:
Выданное государство:
Выданный адрес электронной почты:
Когда я спрашиваю сотрудника, почему он запросил сертификат, они не помнят, почему или для какой системы он был.
Я ищу способ увидеть все запрошенные сертификаты и к каким машинам они привязаны:
Вещи, которые я пробовал /Googled:
Команда, похожая на Netstat, которая может сообщить мне о любом прослушивании или установлении соединения с сервером на 443, возможно, я сильно отклоняюсь от своей логики и мышления.
Я просмотрел средство просмотра событий, просматривая отметку времени "Дата вступления в силу сертификата: 11/05/2015 8:46", и не могу найти никаких журналов, которые бы мне что-нибудь показывали.
Я попытался просмотреть базу данных с помощью команды certutil, однако мне нужно остановить службу, прежде чем я смогу просмотреть базу данных, просматривая схему, похоже, что там находится много информации, которую я ищу.
Если я остановлю службу, SSL-сертификаты все еще будут в порядке или конечный пользователь получит это предупреждение SSL?
Если я сделаю резервную копию базы данных, могу ли я переместить файл на другой компьютер и прочитать его.
Кто-нибудь знает, смогу ли я узнать, какие серверы / URL-адреса используют сертификаты в моем ЦС?
Есть ли другой лучший способ найти информацию?
1 ответ
When I ask the employee why they requested the certificate they don't remember why or what system it was for.
Это звучит примерно так. Сертификаты EFS (и многие другие) обычно выдаются и обновляются автоматически. Можно отключить EFS в политике или ограничить область выдачи определенной группой безопасности в шаблоне.
I am looking for a way to see all requested certs and what machines they are tied to
Сертификаты EFS обычно выдаются пользователям и неявно не ограничиваются конкретным компьютером. Существуют также другие типы сертификатов EFS, такие как Агенты восстановления данных (DRA).
I tried to look at the database using certutil,
Сертификаты должны быть видны в управлении mmc. Возможно, CA/ шаблон настроен так, чтобы не сохранять копию сертификата, но это не конфигурация по умолчанию.
Does anyone know if I will be able to find what servers / URL's are using the certs on my CA?
Из ЦС? Нет. Он может содержать некоторую информацию, такую как тема, которая соответствует имени компьютера или имени пользователя. Также могут быть выданы сертификаты на имена, которые не соответствуют имени компьютера или имени пользователя. Или сертификаты не могут быть сохранены в ЦС. Это вопрос, который каждый, кто использует сертификаты, спрашивает в тот или иной момент, и не существует универсального решения. Сертификаты могут существовать в хранилище сертификатов компьютера Windows, хранилище сертификатов пользователей Windows, реестре, файле в файловой системе, используемой приложением, встроенном в приложение, такое как сервер SQL, поэтому инвентаризация сертификатов не так проста, как вы бы это сделали считать. И даже если они найдены, это не значит, что они используются. И даже если они используются, вы все равно можете не знать, что их использует, без дальнейшего расследования.
Наилучший подход - уже иметь хорошую систему отслеживания. Следующим наилучшим подходом является регулярное сканирование вашей сети на наличие используемых портов / сертификатов.