如何查明证书请求的来源

如何查明证书请求的来源

我在 Server 2012 R2 上设置了一个 CA,运行该服务器的人离开了公司,所以我设置了一个新的 CA 服务器。

我正在尝试弄清楚这些证书适用于哪些系统/URL。

已颁发证书的清单如下:

请求 ID:71

请求者姓名:DOMAIN\UserName

证书模板:基本 EFS (EFS)

序列号:5f00000047c60993f6dff61ddb000000000047

证书生效日期:2015 年 11 月 5 日 8:46

证书到期日期:2016 年 11 月 4 日 8:46

发行国家/地区:

发证机构:

已发布组织单位:组织用户员工

签发的通用名称:员工姓名 <-- 员工实际姓名

发行城市:

发证州:

发出的电子邮件地址:

当我询问员工为什么申请该证书时,他们不记得为什么或者该证书用于什么系统。

我正在寻找一种方法来查看所有请求的证书以及它们所绑定的机器:

我尝试过/谷歌过的东西:

  1. 类似于 Netstat 的命令可以告诉我 443 上任何正在监听或已建立的连接,但我的逻辑和思维可能完全错误。

  2. 我通过事件查看器查看了“证书生效日期:2015 年 11 月 5 日 8:46”时间戳,但找不到任何显示任何内容的日志。

  3. 我尝试使用 certutil 命令查看数据库,但是我必须先停止服务才能查看数据库,查看架构后发现我正在寻找的很多信息可能就在其中。

如果我停止服务,SSL 证书是否仍然有效,或者最终用户是否会收到 SSL 警告?

如果我备份了数据库,我可以将文件移动到不同的 PC 并读取它吗?

有人知道我是否能够找到哪些服务器/URL 正在使用我的 CA 上的证书吗?

有没有其他更好的方法可以找到这些信息?

答案1

When I ask the employee why they requested the certificate they don't remember why or what system it was for.

听起来不错。EFS 证书(以及许多其他证书)通常自动颁发和更新。可以在策略中禁用 EFS 或将颁发范围限制为模板上的特定安全组。

I am looking for a way to see all requested certs and what machines they are tied to

EFS 证书通常颁发给用户,并且不仅限于特定计算机。还有其他类型的 EFS 证书,例如数据恢复代理 (DRA)。

I tried to look at the database using certutil

证书应该在管理 mmc 中可见。CA/模板可能配置为不保存证书副本,但这不是默认配置。

Does anyone know if I will be able to find what servers / URL's are using the certs on my CA?

来自 CA?不是。它可能包含一些信息,例如与计算机名称或用户名匹配的主题。也可能有颁发给与计算机名称或用户名不匹配的名称的证书。或者证书可能未保存在 CA 上。这是每个使用证书的人都会在某个时候问到的问题,并且没有一刀切的解决方案。证书可以存在于 Windows 计算机证书存储、Windows 用户证书存储、注册表、应用程序使用的文件系统上的文件中,嵌入在 SQL Server 等应用程序中,因此清点证书的位置并不像您想象的那么简单。即使找到了它们,也并不意味着它们正在使用中。即使它们正在使用中,如果不进一步调查,您可能仍然不知道是什么在使用它们。

最好的方法是先建立良好的跟踪系统。其次最好的方法是定期扫描网络以查找正在使用的端口/证书。

相关内容