Como descobrir de onde veio uma solicitação de certificado

13

Eu tenho uma configuração de CA no Server 2012 R2, a pessoa que executou o servidor deixou a empresa e eu configurei um novo servidor de CA.

Estou tentando descobrir para que sistemas / URL são os certificados.

Na lista de certificados emitidos está o seguinte:

ID do pedido: 71

Nome do solicitante: DOMAIN \ UserName

Modelo de certificado: EFS básico (EFS)

Número de série: 5f00000047c60993f6dff61ddb000000000047

Data efetiva do certificado: 11/05/2015 8:46

Data de validade do certificado: 11/04/2016 8:46

País / Região Emitida:

Organização Emitida:

Unidade da organização emitida: Usuários da organização Funcionários

Nome comum emitido: Nome do funcionário <- Nome acústico do funcionário

Cidade Emitida:

Estado de emissão:

Endereço de E-mail Emitido:

Quando pergunto ao funcionário por que eles solicitaram o certificado, eles não se lembram do motivo ou do sistema.

Estou procurando uma maneira de ver todos os certificados solicitados e em quais máquinas eles estão vinculados:

Coisas que tentei / pesquisei no Google:

  1. Um comando semelhante ao Netstat que poderia me dizer qualquer conexão de escuta ou estabelecida com o servidor no 443, posso estar muito fora da base em minha lógica e pensamento.

  2. Examinei o visualizador de eventos com o registro de data e hora "Data de validade do certificado: 11/05/2015 8:46" e não consigo encontrar nenhum registro que me mostre algo.

  3. Tentei examinar o banco de dados usando o comando certutil, no entanto, tenho que interromper o serviço antes de poder visualizá-lo, examinando o esquema, parece que muitas das informações que estou procurando podem estar lá.

Se eu interromper o serviço, os certificados SSL ainda estarão ok ou o usuário final receberá esse aviso SSL?

Se eu fizer um backup do banco de dados, posso mover o arquivo para um PC differnet e poder lê-lo.

Alguém sabe se eu poderei encontrar quais servidores / URLs estão usando os certificados no meu CA?

Existe uma maneira melhor e diferente de encontrar as informações?

Anthony Fornito
fonte

Respostas:

3

When I ask the employee why they requested the certificate they don't remember why or what system it was for.

Isso parece certo. Os certificados EFS (e muitos outros) geralmente são emitidos e renovados automaticamente. É possível desativar o EFS na política ou limitar o escopo da emissão a um grupo de segurança específico no modelo.

I am looking for a way to see all requested certs and what machines they are tied to

Os certificados EFS geralmente são emitidos para os usuários e, implicitamente, não se limitam a um computador específico. Também existem outros tipos de certificados EFS, como DRA (Data Recovery Agents).

I tried to look at the database using certutil.

Os certificados devem estar visíveis no mmc de gerenciamento. É possível que a CA / modelo esteja configurada para não salvar uma cópia do certificado, mas essa não é a configuração padrão.

Does anyone know if I will be able to find what servers / URL's are using the certs on my CA?

Da CA? Não. Pode haver algumas informações, como um assunto que corresponde ao nome do computador ou nome de usuário. Também pode haver certificados emitidos para nomes que não correspondem a um nome de computador ou nome de usuário. Ou os certificados podem não ser salvos na CA. Essa é uma pergunta que todo mundo que usa certificados pergunta uma vez ou outra e não há uma solução única para todos. Os certificados podem existir em um repositório de certificados do computador Windows, um repositório de certificados do usuário do Windows, o registro, um arquivo em um sistema de arquivos usado por um aplicativo, incorporado a um aplicativo como o SQL Server, portanto, o inventário dos certificados não é tão simples quanto você faria. pensar. E mesmo que sejam encontrados, isso não significa que estejam em uso. E mesmo que estejam em uso, você ainda pode não saber o que os está usando sem uma investigação mais aprofundada.

A melhor abordagem é já ter um bom sistema de rastreamento. A próxima melhor abordagem é ter sua rede varrida regularmente em busca de portas / certificados em uso.

Greg Askew
fonte