Ad Widget

Collapse

мониторинг центра сертификации windows

Collapse
X
Collapse
 
  • Page of 1
  • Time
  • Show
Clear All
new posts
Previous template Next
  • dezhnevo
    Member
    • Sep 2018
    • 91
    #1

    мониторинг центра сертификации windows

    Привет.
    Есть ли возможность мониторить заканчивающиеся сертификаты выпущенные для пользователей в центре сертификации windows. Локальный сертификат выводит, а как мониторить хранилище не догоню. Спасибо
    Задача такова, скрипт на PS, например, который посылает значения а Z уже кричит когда у серта подходит срок, например 7 дней
    Tags: None
    • Hamardaban
      Senior Member
      Zabbix Certified SpecialistZabbix Certified Professional
      • May 2019
      • 2713
      #2
      Попробуй взять реестр запросов и понять по каким из них выпущены сертификаты. Потом анализировать поле "Certificate Expiration Date". Вот набор статей - может чего полезного найдешь: https://www.sysadmins.lv/blog-ru/cat...-chast-1-shema
      [MS-CSRA]: Appendix B: Product Behavior
      https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-csra/5f06c74c-1a29-4fdf-b8dd-ae3300d1b90d#id5
      The information in this specification is applicable to the following Microsoft products or supplemental software.

      Если получиться - напиши сюда решение. Наверняка многим пригодиться
      Last edited by Hamardaban; 02-09-2019, 15:53.

        Comment

        • DRVTiny
          Senior Member
          • Sep 2011
          • 162
          #3
          Можно выставить этот сертификат через IIS наружу, забирать его скриптом и проверять валидность сертификата (истечение срока действия, валидность пути сертификации).
          У меня для этого используется скрипт check_certs.sh, могу ссылку дать, где-то у себя на гитхабе выкладывал.

            Comment

            • dezhnevo
              #3.1
              dezhnevo commented
              02-09-2019, 15:52
              Editing a comment
              да, не. в ssl решении еще ок, а тут пользовательские, все выкидывать что ли? много очень, надо с БД CA замутить, думал проще все, блэт.
            • DRVTiny
              Senior Member
              • Sep 2011
              • 162
              #4
              Бьюсь об заклад, эти сертификаты можно из Active Directory LDAP-запросом вытащить

                Comment

                • dezhnevo
                  Member
                  • Sep 2018
                  • 91
                  #5
                  Вот скрипт, который выводит список сертов которые заканчиваются через 7 дней (можно менять)

                  $date = Get-Date
                  $days = 7
                  cls
                  Get-ADUser -Filter {Enabled -eq $true} -Properties 'Certificates' | Where Certificates | ForEach {
                  if ($Certs = $_.Certificates | ForEach {[System.Security.Cryptography.X509Certificates.X509 Certificate2]$_} | Where {$_.NotAfter -le ($date).AddDays($days) -AND $_.NotAfter -gt ($date)} | Sort NotAfter | Select -Last 1)
                  {
                  ($Certs).Subject -replace '^.*CN=|,.+$'
                  }
                  }

                  Берет данные не из БД СА а из свойства пользователя в AD "Опубликованные сертификаты"

                    Comment

                    Previous template Next
                    Working...