Як дізнатися, звідки взявся Запит на сертифікат

У мене налаштування CA на Server 2012 R2, людина, яка керувала сервером, покинула компанію, і я налаштував новий сервер CA.

Я намагаюся розібратися, для яких систем / URL призначені сертифікати.

У списку виданих сертифікатів є наступне:

ID запиту: 71

Ім'я запитувача: DOMAIN \ UserName

Шаблон сертифіката: базовий EFS (EFS)

Серійний номер: 5f00000047c60993f6dff61ddb000000000047

Дата набрання чинності сертифікатом: 05.05.2015 8:46

Дата закінчення терміну дії сертифіката: 11.11.2016 8:46

Країна / регіон, що видається:

Організація, що видається:

Виданий організаційний підрозділ: працівники користувачів органів

Загальне ім'я: Ім'я працівника <- Прізвище працівника

Місто випуску:

Держава, що видається:

Видана електронна адреса:

Коли я запитую у працівника, чому вони вимагали сертифікат, він не пам’ятає, для чого або для якої системи це було.

Я шукаю спосіб побачити всі запитувані серти та ті машини, до яких вони прив’язані:

Що я спробував / Гугл:

1. Команда, схожа на Netstat, яка могла б підказати мені будь-яке прослуховування або встановлене з’єднання з сервером на 443, я можу відмовитись від своєї логіки та мислення.

2. Я переглянув глядача події, дивлячись на часовий штамп "Дію сертифіката: 05.05.2015 8:46", і не можу знайти жодного журналу, який би мені нічого не показував.

3. Я намагався подивитися на базу даних за допомогою команди certutil, проте мені доведеться зупинити службу, перш ніж я зможу переглянути базу даних, переглядаючи схему, схоже, багато інформації, яку я шукаю, може бути там.

Якщо я припиняю службу, сертифікати SSL все ще будуть добре чи кінцевий користувач отримає це попередження SSL?

Якщо я візьму резервну копію бази даних, чи можу я перемістити файл на ПК з різними мережами та зможу його прочитати.

Хтось знає, чи зможу я знайти, які сервери / URL-адреси використовують серти в моєму CA?

Чи є інший кращий спосіб я знайти інформацію?

When I ask the employee why they requested the certificate they don't remember why or what system it was for.

Це звучить правильно. Сертифікати EFS (та багато інших), як правило, видаються та поновлюються автоматично. Можна вимкнути EFS у політиці або обмежити область випуску певною групою безпеки в шаблоні.

I am looking for a way to see all requested certs and what machines they are tied to

Сертифікати EFS зазвичай видаються користувачам і неявно не обмежуються певним комп'ютером. Існують також інші типи сертифікатів EFS, такі як агенти відновлення даних (DRA).

I tried to look at the database using certutil.

Сертифікати повинні бути видимими в mmc управління. Можливо, CA / шаблон налаштований не зберігати копію сертифіката, але це не конфігурація за замовчуванням.

Does anyone know if I will be able to find what servers / URL's are using the certs on my CA?

З ЦА? Ні. У ній може бути така інформація, як предмет, який відповідає імені комп'ютера або імені користувача. Також можуть бути видані сертифікати на імена, які не відповідають імені комп'ютера або імені користувача. Або сертифікати можуть не зберігатися на ЦС. Це питання, яке задають ті, хто використовує сертифікати в той чи інший час, і не існує рішення одного розміру. Сертифікати можуть існувати в магазині сертифікатів комп'ютерів Windows, магазині сертифікатів користувачів Windows, реєстрі, файлах у файловій системі, що використовується додатком, вбудованих у програму, наприклад SQL-сервер, тому інвентаризація, де сертифікати не є такою простою, як ви б думати. І навіть якщо вони знайдені, це не означає, що вони використовуються. І навіть якщо вони використовуються, ви, можливо, все ще не знаєте, що їх використовує, без подальшого дослідження.

Найкращий підхід - це вже мати хорошу систему стеження. Наступний наступний найкращий підхід - регулярно сканувати вашу мережу на наявність портів / сертифікатів.