Cómo averiguar de dónde vino una solicitud de certificado

13

Tengo una configuración de CA en Server 2012 R2, la persona que ejecutó el servidor dejó la empresa y yo configuré un nuevo servidor de CA.

Estoy tratando de averiguar para qué sistemas / URL son los certificados.

En la Lista de Certificados Emitidos se encuentra lo siguiente:

ID de solicitud: 71

Nombre del solicitante: DOMINIO \ Nombre de usuario

Plantilla de certificado: EFS básico (EFS)

Número de serie: 5f00000047c60993f6dff61ddb000000000047

Fecha de entrada en vigencia del certificado: 11/05/2015 8:46

Fecha de vencimiento del certificado: 11/04/2016 8:46

País / región emitido:

Organización emitida:

Unidad organizativa emitida: Org Usuarios Empleados

Nombre común emitido: Nombre del empleado <- Nombre real del empleado

Ciudad emitida:

Estado emitido:

Dirección de correo electrónico emitida:

Cuando le pregunto al empleado por qué solicitaron el certificado, no recuerdan por qué o para qué sistema era.

Estoy buscando una manera de ver todos los certificados solicitados y a qué máquinas están vinculados:

Cosas que he probado / buscado en Google:

  1. Un comando similar a Netstat que podría indicarme cualquier conexión de escucha o establecida al servidor en 443, puede que esté muy lejos de mi lógica y pensamiento.

  2. He revisado el visor de eventos mirando la marca de tiempo "Fecha de entrada en vigencia del certificado: 05/11/2015 8:46" y no puedo encontrar ningún registro que me muestre nada.

  3. Traté de mirar la base de datos usando el comando certutil, sin embargo, tengo que detener el servicio antes de poder ver la base de datos, revisando el esquema, parece que mucha de la información que estoy buscando podría estar allí.

Si detengo el servicio, ¿los certificados SSL seguirán siendo correctos o el usuario final recibirá esa advertencia SSL?

Si tomo una copia de seguridad de la base de datos, ¿puedo mover el archivo a una PC diferente y poder leerlo?

¿Alguien sabe si podré encontrar qué servidores / URL están usando los certificados en mi CA?

¿Hay una manera mejor y diferente de encontrar la información?

Anthony Fornito
fuente

Respuestas:

3

When I ask the employee why they requested the certificate they don't remember why or what system it was for.

Eso suena bien. Los certificados EFS (y muchos otros) generalmente se emiten y renuevan automáticamente. Es posible deshabilitar EFS en la política o limitar el alcance de la emisión a un grupo de seguridad específico en la plantilla.

I am looking for a way to see all requested certs and what machines they are tied to

Los certificados EFS generalmente se emiten a los usuarios, y no se limitan implícitamente a una computadora específica. También hay otros tipos de certificados EFS, como los Agentes de recuperación de datos (DRA).

I tried to look at the database using certutil.

Los certificados deben estar visibles en la gestión mmc. Es posible que la plantilla / CA esté configurada para no guardar una copia del certificado, pero esa no es la configuración predeterminada.

Does anyone know if I will be able to find what servers / URL's are using the certs on my CA?

¿De la CA? No. Puede tener cierta información, como un tema que coincida con el nombre de la computadora o el nombre de usuario. También puede haber certificados emitidos para nombres que no coinciden con un nombre de computadora o nombre de usuario. O los certificados pueden no guardarse en la CA. Esta es una pregunta que todos los que usan certificados se hacen en un momento u otro, y no existe una solución única para todos. Los certificados pueden existir en un almacén de certificados de computadora con Windows, un almacén de certificados de usuario de Windows, el registro, un archivo en un sistema de archivos utilizado por una aplicación, incrustado en una aplicación como el servidor SQL, por lo que hacer un inventario de los certificados no es tan simple como lo haría pensar. E incluso si se encuentran, no significa que estén en uso. E incluso si están en uso, es posible que aún no sepa qué los está utilizando sin más investigación.

El mejor enfoque es tener un buen sistema de seguimiento. El siguiente mejor enfoque es hacer que su red se analice regularmente en busca de puertos / certificados en uso.

Greg Askew
fuente