Windows PKI: Как я могу импортировать, подписывать / выпускать и экспортировать большое количество CSR?
У меня есть много CSR, которые мне нужно подписать / выдать и экспортировать в Windows. Я надеялся, что смогу обработать их как-нибудь (по-видимому, certutil может выполнять некоторую часть работы), но я не совсем уверен, как мне это сделать. Это возможно?
Любая помощь будет принята с благодарностью.
2 ответа
Проверьте модуль PowerShell инфраструктуры открытого ключа. Команда Approve-CertificateRequest и Receive-Certificate позволяет вам помочь.
Я могу сказать, что да, это возможно. Но это будет большая работа, и я сомневаюсь, что кто-то на бесплатном сайте вопросов и ответов в Интернете собирается добровольно выполнить всю эту бесплатную работу сисадмина для вас... при этом я сказал, что я могу, по крайней мере, начать вас,
Есть два основных способа атаковать это. Один из них, как вы уже определили, относится к certutil. Скорее всего, вы будете использовать Powershell, чтобы написать "обертку" вокруг certutil.exe, которая будет загружать входные данные и анализировать выходные данные.
Во-вторых, есть COM-компоненты служб сертификации CERTENROLLib, CERTCLIENTLib и т. Д. Они позволяют создавать сценарии для любой работы, которая в противном случае выполнялась бы вручную, если вы готовы приложить к этому ужасные усилия.
Посмотрите, этот парень использует C# и вышеупомянутые COM-интерфейсы для создания CSR, отправьте CSR в центр сертификации, получите ответ и установите сертификат. C# легко переносится на Powershell.
Во-вторых, certutil... вы можете делать большинство вещей с помощью certutil, но он не объектно-ориентирован, он разбирается как текст из старых вещей Unix. В качестве примера я поделюсь с вами коротким сценарием Powershell, который я написал, который использует certutil для сканирования ожидающего запроса сертификата в Центре сертификации и предупреждает администраторов, если есть какие-либо ожидающие утверждения CSR, требующие утверждения.
[String]$CAName = 'SERVER01\MY-ISSUING-CA'
[String]$MailFrom = 'noreply@mydomain.com'
[String[]]$MailTo = 'CA-Team@domain.com'
[String]$SMTPServer = 'smtp.domain.com'
$Output = certutil -view -out "Request ID, Request Submission Date, Request Common Name, Requester Name, Request Email Address, Request Distinguished Name" -Restrict "Request Disposition=9"
If ($Output[-1] -NotLike '*successfully.')
{
Write-Error $Output
$Body = "<p>An error occurred on $CAName while checking for pending certificate requests.</p><pre>"
Foreach ($Line In $Output)
{
$Body += "$Line" + [Environment]::NewLine
}
$Body += "</pre>"
Send-MailMessage -SmtpServer $SMTPServer -From $MailFrom -To $MailTo -Subject "$CAName Encountered An Error!" -Body $Body -BodyAsHtml
Return
}
[Int]$NumberOfRequests = 0
If ([Int]::TryParse($Output[-2].Trim().Split(' ')[0], [ref] $NumberOfRequests))
{
If ($NumberOfRequests -GT 0)
{
$Body = "<p>There are pending certificate requests on $CAName.</p><pre>"
Foreach ($Line In $Output)
{
$Body += "$Line" + [Environment]::NewLine
}
$Body += "</pre>"
Send-MailMessage -SmtpServer $SMTPServer -From $MailFrom -To $MailTo -Subject "$CAName Has Pending Requests" -Body $Body -BodyAsHtml
}
Else
{
Write-Host "No pending certificate requests found."
}
}
Else
{
$Body = "<p>An error occurred on $CAName while checking for pending certificate requests.</p><pre>"
Foreach ($Line In $Output)
{
$Body += "$Line" + [Environment]::NewLine
}
$Body += "</pre>"
Send-MailMessage -SmtpServer $SMTPServer -From $MailFrom -To $MailTo -Subject "$CAName Encountered An Error!" -Body $Body -BodyAsHtml
}