Cara mengetahui dari mana Permintaan Sertifikat berasal

13

Saya memiliki pengaturan CA pada Server 2012 R2, orang yang menjalankan server meninggalkan perusahaan dan saya memiliki pengaturan server CA baru.

Saya mencoba mencari tahu untuk sistem / URL apa sertifikasinya.

Dalam Daftar Sertifikat yang Diterbitkan adalah sebagai berikut:

ID Permintaan: 71

Nama Peminta: DOMAIN \ UserName

Template Sertifikat: Basic EFS (EFS)

Nomor Seri: 5f00000047c60993f6dff61ddb00000000000047

Tanggal Efektif Sertifikat: 11/05/2015 8:46

Tanggal Berakhir Sertifikat: 11/04/2016 8:46

Negara / Wilayah yang Diterbitkan:

Organisasi yang Diterbitkan:

Unit Organisasi yang Diterbitkan: Karyawan Pengguna Organisasi

Nama Umum yang Diterbitkan: Nama Karyawan <- Nama Akutal Karyawan

Kota yang Diterbitkan:

Negara Bagian yang Diterbitkan:

Alamat Email yang Diterbitkan:

Ketika saya bertanya kepada karyawan mengapa mereka meminta sertifikat, mereka tidak ingat mengapa atau untuk apa sistem itu.

Saya mencari cara untuk melihat semua sertifikat yang diminta dan mesin apa yang terkait dengan mereka:

Hal-hal yang saya coba / cari di Google:

  1. Sebuah perintah yang mirip dengan Netstat yang bisa memberi tahu saya setiap mendengarkan atau membuat koneksi ke server pada 443, saya mungkin jauh dari logika dan pemikiran saya.

  2. Saya telah melihat melalui penampil acara melihat stempel waktu "Sertifikat Tanggal Efektif: 11/05/2015 8:46" dan tidak dapat menemukan log yang menunjukkan kepada saya apa pun.

  3. Saya mencoba melihat database menggunakan perintah certutil tetapi saya harus menghentikan layanan sebelum saya dapat melihat database, melihat skema yang sepertinya banyak informasi yang saya cari mungkin ada di sana.

Jika saya menghentikan layanan, apakah sertifikat SSL masih baik atau apakah pengguna akhir akan mendapatkan peringatan SSL itu?

Jika saya mengambil cadangan dari database, apakah saya dapat memindahkan file ke PC differnet dan dapat membacanya.

Adakah yang tahu jika saya dapat menemukan server / URL apa yang menggunakan sertifikat pada CA saya?

Apakah ada cara lain yang lebih baik untuk mendapatkan informasi?

Anthony Fornito
sumber

Jawaban:

3

When I ask the employee why they requested the certificate they don't remember why or what system it was for.

Kedengarannya benar. Sertifikat EFS (dan banyak lainnya) biasanya dikeluarkan dan diperbarui secara otomatis. Dimungkinkan untuk menonaktifkan EFS dalam kebijakan atau membatasi ruang lingkup penerbitan untuk grup keamanan tertentu pada templat.

I am looking for a way to see all requested certs and what machines they are tied to

Sertifikat EFS biasanya dikeluarkan untuk pengguna, dan secara implisit tidak terbatas pada komputer tertentu. Ada juga jenis sertifikat EFS lainnya, seperti Data Recovery Agents (DRA).

I tried to look at the database using certutil.

Sertifikat harus terlihat di mmc manajemen. Mungkin CA / template dikonfigurasikan untuk tidak menyimpan salinan sertifikat, tetapi itu bukan konfigurasi default.

Does anyone know if I will be able to find what servers / URL's are using the certs on my CA?

Dari CA? Tidak. Mungkin ada beberapa informasi seperti subjek yang cocok dengan nama komputer atau nama pengguna. Mungkin juga ada sertifikat yang dikeluarkan untuk nama yang tidak cocok dengan nama komputer atau nama pengguna. Atau sertifikat mungkin tidak disimpan di CA. Ini adalah pertanyaan yang semua orang yang menggunakan sertifikat bertanya pada satu waktu atau yang lain, dan tidak ada solusi satu ukuran untuk semua. Sertifikat dapat ada di toko sertifikat komputer Windows, toko sertifikat pengguna Windows, registri, file pada sistem file yang digunakan oleh aplikasi, tertanam dalam aplikasi seperti SQL server, jadi inventaris di mana sertifikat tidak sesederhana seperti yang Anda inginkan berpikir. Dan bahkan jika mereka ditemukan, itu tidak berarti mereka sedang digunakan. Dan bahkan jika sedang digunakan, Anda mungkin masih tidak tahu apa yang menggunakannya tanpa penyelidikan lebih lanjut.

Pendekatan terbaik adalah sudah memiliki sistem pelacakan yang baik. Pendekatan terbaik berikutnya berikutnya adalah memiliki jaringan Anda secara teratur dipindai untuk port / sertifikat yang digunakan.

Greg Askew
sumber