Jak dowiedzieć się, skąd pochodzi żądanie certyfikatu

Mam konfigurację urzędu certyfikacji na serwerze 2012 R2, osoba, która zarządzała serwerem, opuściła firmę i skonfigurowałem nowy serwer urzędu certyfikacji.

Próbuję dowiedzieć się, dla jakich systemów / adresów URL są przeznaczone certyfikaty.

Na liście wydanych certyfikatów znajduje się:

Identyfikator żądania: 71

Nazwa wnioskodawcy: DOMENA \ NazwaUżytkownika

Szablon certyfikatu: Podstawowy EFS (EFS)

Numer seryjny: 5f00000047c60993f6dff61ddb000000000047

Data wejścia w życie certyfikatu: 11.05.2015 8:46

Data ważności certyfikatu: 11/04/2016 8:46

Wydany kraj / region:

Wydana organizacja:

Wydana jednostka organizacyjna: pracownicy użytkowników organizacji

Wydane imię i nazwisko: nazwa pracownika <- rzeczywista nazwa pracownika

Wydane miasto:

Państwo wydane:

Wydany adres e-mail:

Kiedy pytam pracownika, dlaczego poprosił o certyfikat, nie pamięta, dlaczego i dla jakiego systemu.

Szukam sposobu, aby zobaczyć wszystkie wymagane certyfikaty i urządzenia, z którymi są powiązane:

Rzeczy, których próbowałem / Google:

1. Komenda podobna do Netstat, która mogłaby mi powiedzieć każde nasłuchiwanie lub nawiązanie połączenia z serwerem na 443, mogę być daleko od mojej logiki i myślenia.

2. Przejrzałem przeglądarkę zdarzeń, patrząc na znacznik czasu „Data wejścia w życie certyfikatu: 11/05/2015 8:46” i nie mogę znaleźć żadnych dzienników, które mogłyby mi coś pokazać.

3. Próbowałem spojrzeć na bazę danych za pomocą polecenia certutil, jednak muszę zatrzymać usługę, zanim będę mógł wyświetlić bazę danych, patrząc na schemat, wygląda na to, że może tam być wiele informacji, których szukam.

Jeśli zatrzymam usługę, czy certyfikaty SSL będą nadal prawidłowe, czy też użytkownik końcowy otrzyma to ostrzeżenie SSL?

Jeśli zrobię kopię zapasową bazy danych, czy mogę przenieść plik na inny komputer i móc go odczytać.

Czy ktoś wie, czy będę w stanie znaleźć, które serwery / adresy URL używają certyfikatów w moim CA?

Czy istnieje inny lepszy sposób na znalezienie informacji?

When I ask the employee why they requested the certificate they don't remember why or what system it was for.

Brzmi nieźle. Certyfikaty EFS (i wiele innych) są zazwyczaj wydawane i odnawiane automatycznie. Możliwe jest wyłączenie EFS w polityce lub ograniczenie zakresu wystawiania do określonej grupy zabezpieczeń w szablonie.

I am looking for a way to see all requested certs and what machines they are tied to

Certyfikaty EFS są zwykle wydawane użytkownikom i domyślnie nie ograniczają się do konkretnego komputera. Istnieją również inne typy certyfikatów EFS, takie jak agenci odzyskiwania danych (DRA).

I tried to look at the database using certutil.

Certyfikaty powinny być widoczne w mmc zarządzania. Możliwe, że CA / szablon jest skonfigurowany tak, aby nie zapisywał kopii certyfikatu, ale nie jest to konfiguracja domyślna.

Does anyone know if I will be able to find what servers / URL's are using the certs on my CA?

Z CA? Nie. Może zawierać pewne informacje, takie jak temat zgodny z nazwą komputera lub nazwą użytkownika. Mogą być także wydawane certyfikaty dla nazw, które nie pasują do nazwy komputera lub nazwy użytkownika. Lub certyfikaty mogą nie zostać zapisane w urzędzie certyfikacji. To pytanie zadaje każdy, kto korzysta z certyfikatów w tym samym czasie, i nie ma jednego uniwersalnego rozwiązania. Certyfikaty mogą istnieć w magazynie certyfikatów komputera z systemem Windows, magazynie certyfikatów użytkownika systemu Windows, rejestrze, pliku w systemie plików używanym przez aplikację, osadzonym w aplikacji takiej jak SQL Server, więc inwentaryzacja, w której znajdują się certyfikaty, nie jest tak prosta, jak w przypadku myśleć. I nawet jeśli zostaną znalezione, nie oznacza to, że są w użyciu. A nawet jeśli są w użyciu, możesz nie wiedzieć, co ich używa bez dalszego dochodzenia.

Najlepszym podejściem jest już posiadanie dobrego systemu śledzenia. Kolejnym najlepszym rozwiązaniem jest regularne skanowanie sieci w poszukiwaniu portów / certyfikatów w użyciu.