那些遇到过的问题

“企业 PKI”MMC 是否允许对 PKI 进行任何自动化测试?

Chr*_*ski 5 monitoring pki certificate-authority ad-certificate-services

我正在使用企业 PKI 管理单元来诊断和检查 MSFT PKI 系统的运行状况。

有什么方法可以编写/自动化此工具以提醒我 CRL 即将到期或缺少 AIA?

Cry*_*t32 4

不,PKIView.msc 不提供任何自动化手段/功能。您必须编写自己的脚本。我建议(抱歉,没有实际代码,但有一种方法可以做到这一点)是考虑以下计划和可能的工具(假设您将使用 Windows PowerShell):

  • 枚举所有企业证书颁发机构(通过使用ICertConfig接口)
  • 循环每个 CA 并检索最新的 CA Exchange 证书(参数中包含ICertAdmin::GetCAPropertyCR_PROP_CAXCHGCERTPropId
  • 使用X509Chanin.Build()方法为每个 CA Exchange 证书构建链。这将为您提供所有要检查的证书。
  • 循环每个证书并使用CryptGetObjectUrl函数从 CDP 和 AIA 扩展中提取 URL。
  • 使用Invoke-WebRequest cmdlet 尝试从上一步中收集的 URL 下载对象。
  • 报告任何失败的下载。如果下载成功,您可以设置阈值以警告即将过期或已过期的项目。

有很多方法,但我会选择这个(我计划在明年研究这个,所以这是可能的)。

最后一个建议:如果您正在寻找可靠的解决方案,请不要依赖 certutil 输出解析,因为它的输出取决于许多因素,并且可能不是您期望的。

此外,如果您使用PowerShell PKI 模块,此任务将会简化。该模块已经提供了枚举企业 CA、以托管方式读取 CRL、检索 CA Exchange 证书等的方法。

2014 年 12 月 26 日更新:该脚本的 PoC 现已可用:Enterprise PKI (pkiview.msc) PowerShell Edition (PoC)

归档时间:

查看次数:

973 次

最近记录:

10 年,10 月 前
相关归档
在 Puppet 中使用备用 CA(如 Microsoft 证书服务) 10
Nagios 检查模拟 Web 完整渲染时间 8
使用 statsd 的好处? 7
监控虚拟机的资源(CPU、RAM 等) 7
我应该如何配置 CAA DNS 记录以与 AWS Certificate Manager 一起使用 5
您如何配置 IIS 以信任服务器到服务器 https 请求的内部证书颁发机构 4
RootCA 证书导入到 cacerts 信任库后,JRE 无法与 AD 建立 LDAPS 连接 4
openssl 不断创建 v1 证书而不是 v3 4
监控社交网站的使用情况并向超过每日配额的用户发送警告 3
Nagios 检查两个服务中的至少一个是否正常 3
难疑归档
我可以自动向 known_hosts 添加新主机吗? 298
如何在不删除图像本身的情况下删除 Docker 中的图像标签? 213
使用 DD 进行磁盘克隆 207
如何以友好的格式读取 pcap 文件? 153
rm 在包含数百万个文件的目录上 118
如何清除 Chrome 的 SSL 缓存? 89
如何从 Linux 命令行获取处理器/RAM/磁盘规格? 89
你有任何有用的 awk 和 grep 脚本来解析 apache 日志吗? 72
使用 LDAP 的 SSH 密钥身份验证 69
DNS A 与 NS 记录 58