証明書リクエストがどこから来たのかを知る方法

13

Server 2012 R2にCAをセットアップしました。サーバーを実行した人が退職し、新しいCAサーバーをセットアップしました。

私は、証明書がどのシステム/ URLのためのものであるかを把握しようとしています。

発行された証明書のリストには、次のものがあります。

リクエストID:71

リクエスター名:DOMAIN \ UserName

証明書テンプレート:基本EFS(EFS)

シリアル番号:5f00000047c60993f6dff61ddb000000000047

証明書の発効日:11/05/2015 8:46

証明書の有効期限:2016年11月4日8:46

発行国/地域:

発行された組織:

発行された組織単位:組織ユーザー従業員

発行された共通名:従業員名<-従業員の実際の名前

発行都市:

発行状態:

発行されたメールアドレス:

従業員に証明書を要求した理由を尋ねると、その理由やシステムが何であるかを覚えていません。

私はすべての要求された証明書とそれらが関連付けられているマシンを確認する方法を探しています:

私が試したこと/ Googled:

  1. Net443に似たコマンドで、443上のサーバーへのリッスン接続または確立された接続を伝えることができますが、論理と考え方に基づいて少し離れているかもしれません。

  2. 「Certificate Effective Date:11/05/2015 8:46」のタイムスタンプを見てイベントビューアーを調べましたが、何かを示すログは見つかりません。

  3. certutilコマンドを使用してデータベースを調べようとしましたが、データベースを表示する前にサービスを停止する必要があります。スキーマを調べると、探している情報の多くがそこにある可能性があります。

サービスを停止しても、SSL証明書は問題ありませんか、またはエンドユーザーにそのSSL警告が表示されますか?

データベースのバックアップを取る場合、ファイルを異なるPCに移動し、読み取ることができます。

CAで証明書を使用しているサーバー/ URLを見つけることができるかどうかは誰にもわかりますか?

情報を見つけることができる別のより良い方法はありますか?

ad-certificate-services  certutil 
アンソニーフォルニート
ソース

回答:

3

When I ask the employee why they requested the certificate they don't remember why or what system it was for.

それは正しいことです。EFS証明書(および他の多くの証明書)は通常、自動的に発行および更新されます。ポリシーでEFSを無効にしたり、テンプレート上の特定のセキュリティグループへの発行範囲を制限したりすることができます。

I am looking for a way to see all requested certs and what machines they are tied to

EFS証明書は通常ユーザーに発行され、暗黙的に特定のコンピューターに限定されません。データ回復エージェント(DRA)など、他の種類のEFS証明書もあります。

I tried to look at the database using certutil

証明書は管理mmcに表示される必要があります。CA /テンプレートは、証明書のコピーを保存しないように構成されている可能性がありますが、それはデフォルトの構成ではありません。

Does anyone know if I will be able to find what servers / URL's are using the certs on my CA?

CAから?いいえ。コンピュータ名またはユーザー名に一致する件名などの情報が含まれている場合があります。コンピューター名またはユーザー名と一致しない名前に対して発行された証明書もあります。または、証明書がCAに保存されない場合があります。これは、証明書を使用するすべての人がいつか尋ねる質問であり、万能のソリューションはありません。証明書は、Windowsコンピューターの証明書ストア、Windowsユーザー証明書ストア、レジストリ、アプリケーションで使用されるファイルシステム上のファイル、SQLサーバーなどのアプリケーションに埋め込まれているため、証明書のインベントリ作成はそれほど簡単ではありませんと思います。そして、それらが見つかったとしても、それが使用中であるという意味ではありません。そして、それらが使用されている場合でも、さらに調査することなく、何を使用しているのかまだわからない場合があります。

最善のアプローチは、適切な追跡システムをすでに用意しておくことです。次の最善のアプローチは、使用中のポート/証明書についてネットワークを定期的にスキャンすることです。

グレッグ・アスキュー
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.