Início / server / Perguntas / 649149
Accepted
makerofthings7
Asked: 2014-12-05 05:38:47 +0800 CST

O MMC "Enterprise PKI" permite qualquer teste automatizado da PKI?

  • 772

Estou usando o snap-in Enterprise PKI para diagnosticar e verificar a integridade de um sistema MSFT PKI.

Existe alguma maneira de criar um script/automatizar esta ferramenta para me alertar sobre a expiração pendente de uma CRL ou AIA ausente?

monitoring

2 respostas

  1. Best Answer

    Não, o PKIView.msc não fornece nenhum meio/capacidade de automação. Você tem que escrever seus próprios scripts. O que eu sugeriria (desculpe, nenhum código real, mas uma maneira de fazer isso) é considerar o seguinte plano e as ferramentas possíveis (supondo que você usará o Windows PowerShell):

    • enumerar todas as Autoridades de Certificação Corporativa (usando a interface ICertConfig )
    • faça um loop em cada CA e recupere o certificado CA Exchange mais recente ( ICertAdmin::GetCAProperty com CR_PROP_CAXCHGCERTno PropIdparâmetro)
    • use o método X509Chanin.Build() para construir a cadeia para cada certificado CA Exchange. Isso lhe dará todos os certificados para examinar.
    • faça um loop em cada certificado e use a função CryptGetObjectUrl para extrair URLs das extensões CDP e AIA.
    • use o cmdlet Invoke-WebRequest para tentar baixar objetos da URL reunida na etapa anterior.
    • relatar quaisquer downloads com falha. Se o download for bem-sucedido, você pode definir limites para avisar sobre itens prestes a expirar ou já expirados.

    Existem várias maneiras, mas eu escolheria esta (estou planejando trabalhar nisso no próximo ano, então é possível).

    e a última sugestão: se você está procurando uma solução confiável, não confie na análise de saída certutil, porque sua saída depende de vários fatores e pode não ser a que você espera.

    Além disso, esta tarefa será simplificada se você usar o módulo PowerShell PKI . Este módulo já oferece maneiras de enumerar CAs Corporativas, ler CRLs de forma gerenciada, recuperar certificados CA Exchange e assim por diante.

    atualização 26.12.2014 : um PoC do script já está disponível: Enterprise PKI (pkiview.msc) PowerShell Edition (PoC)

    • 4

  2. O MMC mostrará ícones vermelhos/amarelos quando certas coisas estiverem erradas, mas é um console interativo e não possui recursos de automação. Eu uso o powershell para invocar o comando CERTUTIL CLI para verificar as expirações e invocar-webrequest para testar a disponibilidade do AIA.

    gci \\servername\certenroll\*.crl | foreach {
    certutil -dump $_.fullname | out-string | % { $_ -match "Next CRL Publish\r\n\s+(.*)" | out-null }
    $expire = [datetime]$matches[1]
    $expire
    # do some date math on $expire
    # send some email if about to expire
}

$aia = "http://pki.acme.com/acme.crt"
if ( (invoke-webrequest $aia).statuscode -ne 200) {
    # not found, send-mailmessage
}
    • -1

relate perguntas