So finden Sie heraus, woher eine Zertifikatsanforderung stammt

13

Ich habe ein CA-Setup auf Server 2012 R2, die Person, die den Server ausgeführt hat, hat das Unternehmen verlassen, und ich habe einen neuen CA-Server eingerichtet.

Ich versuche herauszufinden, für welche Systeme / URLs die Zertifikate bestimmt sind.

In der Liste der ausgestellten Zertifikate steht:

Anforderungs-ID: 71

Anforderungsname: DOMÄNE \ Benutzername

Zertifikatvorlage: Basis-EFS (EFS)

Seriennummer: 5f00000047c60993f6dff61ddb000000000047

Datum des Inkrafttretens des Zertifikats: 11/05/2015 8:46

Ablaufdatum des Zertifikats: 11/04/2016 8:46

Ausgestelltes Land / Region:

Ausgestellte Organisation:

Ausgestellte Organisationseinheit: Organisationsbenutzer Mitarbeiter

Ausgegebener gebräuchlicher Name: Name des Mitarbeiters <- Aktueller Name des Mitarbeiters

Ausgestellte Stadt:

Ausgestelltes Bundesland:

Ausgestellte E-Mail-Adresse:

Wenn ich den Mitarbeiter frage, warum er das Zertifikat angefordert hat, kann er sich nicht erinnern, warum oder für welches System es gedacht war.

Ich suche nach einer Möglichkeit, alle angeforderten Zertifikate und die Maschinen, an die sie gebunden sind, anzuzeigen:

Dinge, die ich ausprobiert / gegoogelt habe:

  1. Ein Befehl ähnlich dem von Netstat, der mir mitteilen könnte, ob ich auf dem Server 443 lausche oder eine Verbindung herstelle. Möglicherweise bin ich aufgrund meiner Logik und meiner Überlegungen weit davon entfernt.

  2. Ich habe die Ereignisanzeige mit dem Zeitstempel "Zertifikat gültig ab 11/05/2015 8:46" durchgesehen und kann keine Protokolle finden, die mir etwas anzeigen.

  3. Ich habe versucht, die Datenbank mit dem Befehl certutil zu durchsuchen. Ich muss den Dienst jedoch beenden, bevor ich die Datenbank anzeigen kann. Beim Durchsuchen des Schemas sieht es so aus, als wären viele der gesuchten Informationen dort enthalten.

Wenn ich den Dienst stoppe, sind die SSL-Zertifikate immer noch in Ordnung oder wird der Endbenutzer diese SSL-Warnung erhalten?

Wenn ich ein Backup der Datenbank mache, kann ich die Datei auf einen anderen PC verschieben und dort lesen.

Weiß jemand, ob ich feststellen kann, welche Server / URLs die Zertifikate auf meiner Zertifizierungsstelle verwenden?

Gibt es eine andere bessere Möglichkeit, die Informationen zu finden?

Anthony Fornito
quelle

Antworten:

3

When I ask the employee why they requested the certificate they don't remember why or what system it was for.

Das klingt ungefähr richtig. EFS-Zertifikate (und viele andere) werden normalerweise automatisch ausgestellt und erneuert. Es ist möglich, EFS in der Richtlinie zu deaktivieren oder den Ausstellungsbereich auf eine bestimmte Sicherheitsgruppe in der Vorlage zu beschränken.

I am looking for a way to see all requested certs and what machines they are tied to

EFS-Zertifikate werden normalerweise an Benutzer ausgestellt und sind implizit nicht auf einen bestimmten Computer beschränkt. Es gibt auch andere Arten von EFS-Zertifikaten, z. B. Data Recovery Agents (DRA).

I tried to look at the database using certutil.

Die Zertifikate sollten in der Verwaltung mmc sichtbar sein. Es ist möglich, dass die CA / Vorlage so konfiguriert ist, dass keine Kopie des Zertifikats gespeichert wird. Dies ist jedoch nicht die Standardkonfiguration.

Does anyone know if I will be able to find what servers / URL's are using the certs on my CA?

Von der CA? Nein. Möglicherweise enthält es einige Informationen, z. B. einen Betreff, der mit dem Computernamen oder dem Benutzernamen übereinstimmt. Möglicherweise werden auch Zertifikate für Namen ausgestellt, die nicht mit einem Computernamen oder Benutzernamen übereinstimmen. Oder die Zertifikate werden möglicherweise nicht auf der Zertifizierungsstelle gespeichert. Dies ist eine Frage, die sich jeder, der Zertifikate verwendet, stellt, und es gibt keine einheitliche Lösung. Zertifikate können in einem Windows-Computerzertifikatsspeicher, einem Windows-Benutzerzertifikatsspeicher, der Registrierung oder einer Datei in einem Dateisystem vorhanden sein, das von einer Anwendung verwendet wird und in eine Anwendung wie SQL Server eingebettet ist denken. Und selbst wenn sie gefunden werden, heißt das nicht, dass sie verwendet werden. Und selbst wenn sie verwendet werden, wissen Sie möglicherweise noch nicht, was sie verwenden, ohne weitere Untersuchungen durchzuführen.

Der beste Ansatz ist, bereits ein gutes Tracking-System zu haben. Der nächstbeste Ansatz besteht darin, Ihr Netzwerk regelmäßig nach verwendeten Ports / Zertifikaten durchsuchen zu lassen.

Greg Askew
quelle