Comment savoir d'où provient une demande de certificat

13

J'ai une configuration CA sur Server 2012 R2, la personne qui a dirigé le serveur a quitté l'entreprise et j'ai configuré un nouveau serveur CA.

J'essaie de comprendre à quels systèmes / URL les certificats sont destinés.

Dans la liste des certificats délivrés est le suivant:

Identifiant de la demande: 71

Nom du demandeur: DOMAIN \ UserName

Modèle de certificat: EFS de base (EFS)

Numéro de série: 5f00000047c60993f6dff61ddb000000000047

Date d'entrée en vigueur du certificat: 11/05/2015 8:46

Date d'expiration du certificat: 11/04/2016 8:46

Pays / région délivré:

Organisation émise:

Unité d'organisation émise: Employés des utilisateurs de l'organisation

Nom commun attribué: Nom de l'employé <- Nom exact de l'employé

Ville émise:

État délivré:

Adresse e-mail émise:

Lorsque je demande à l'employé pourquoi il a demandé le certificat, il ne se souvient pas pourquoi ni à quel système il était destiné.

Je cherche un moyen de voir tous les certificats demandés et à quelles machines ils sont liés:

Ce que j'ai essayé / googlé:

  1. Une commande similaire à Netstat qui pourrait me dire toute écoute ou connexion établie au serveur sur 443, je peux être loin de ma logique et de ma pensée.

  2. J'ai parcouru l'observateur d'événements en regardant l'horodatage "Date d'entrée en vigueur du certificat: 11/05/2015 8:46" et je ne trouve aucun journal qui me montre quoi que ce soit.

  3. J'ai essayé de regarder la base de données à l'aide de la commande certutil, mais je dois arrêter le service avant de pouvoir afficher la base de données, en examinant le schéma, il semble que beaucoup d'informations que je recherche pourraient y être.

Si j'arrête le service, les certificats SSL seront-ils toujours valides ou l'utilisateur final recevra-t-il cet avertissement SSL?

Si je fais une sauvegarde de la base de données, puis-je déplacer le fichier vers un PC différent et pouvoir le lire.

Est-ce que quelqu'un sait si je serai en mesure de trouver quels serveurs / URL utilisent les certificats sur mon autorité de certification?

Existe-t-il une meilleure façon de trouver les informations?

Anthony Fornito
la source

Réponses:

3

When I ask the employee why they requested the certificate they don't remember why or what system it was for.

Cela semble juste. Les certificats EFS (et bien d'autres) sont généralement émis et renouvelés automatiquement. Il est possible de désactiver EFS dans la stratégie ou de limiter la portée de l'émission à un groupe de sécurité spécifique sur le modèle.

I am looking for a way to see all requested certs and what machines they are tied to

Les certificats EFS sont généralement délivrés aux utilisateurs et implicitement non limités à un ordinateur spécifique. Il existe également d'autres types de certificats EFS, tels que les agents de récupération de données (DRA).

I tried to look at the database using certutil.

Les certificats doivent être visibles dans le mmc de gestion. Il est possible que l'autorité de certification / le modèle soit configuré pour ne pas enregistrer une copie du certificat, mais ce n'est pas la configuration par défaut.

Does anyone know if I will be able to find what servers / URL's are using the certs on my CA?

De l'AC? Non. Il peut contenir des informations telles qu'un sujet correspondant au nom ou au nom d'utilisateur de l'ordinateur. Il peut également y avoir des certificats émis pour des noms qui ne correspondent pas à un nom d'ordinateur ou à un nom d'utilisateur. Ou les certificats peuvent ne pas être enregistrés sur l'autorité de certification. C'est une question que tout le monde qui utilise des certificats pose à un moment ou à un autre, et il n'y a pas de solution universelle. Les certificats peuvent exister dans un magasin de certificats d'ordinateur Windows, un magasin de certificats d'utilisateurs Windows, le registre, un fichier sur un système de fichiers utilisé par une application, incorporé dans une application comme SQL Server, donc l'inventaire où se trouvent les certificats n'est pas aussi simple que vous le feriez pense. Et même s'ils sont trouvés, cela ne signifie pas qu'ils sont en cours d'utilisation. Et même s'ils sont en cours d'utilisation, vous ne savez toujours pas ce qui les utilise sans enquête supplémentaire.

La meilleure approche consiste à avoir déjà un bon système de suivi en place. La prochaine meilleure approche consiste à analyser régulièrement votre réseau à la recherche de ports / certificats en cours d'utilisation.

Greg Askew
la source