IT Log » PKI

Active Directory Certificate Services AD CS Overview

Stanislav Jermář — Fri, 07 Oct 2011 14:14:55 +0000

Přehled – včetně změn zavedených ve Windows 2008 R2:

Zdroj: Active Directory Certificate Services AD CS Overview – TechNet Articles – Home – TechNet Wiki.

PowerShell a stav CRL

Stanislav Jermář — Thu, 27 Jan 2011 20:57:24 +0000

Výpis platnosti seznamu odvolaných certifikátů pomocí PowerShellu + rozšíření (Quest) ActiveRoles Management Shell

PS X:\> Get-QADPKIObject CDP | Get-QADCertificateRevocationList | where-object {$_.IssuedBy -eq "CA01"}

Type Number BaseNumber KeyIndex EffectiveDate NextUpdate Entries Issuer ---- ------ ---------- -------- ------------- ---------- ------- ------ Base 3 0 27.1.2011 11.2.2011 0 CN=CA01, DC=studio... Delta 2 0 23.1.2011 7.2.2011 0 CN=CA01, DC=studio...

Počet zbývajících dní platnosti úplného seznamu CRL zjistíme:

$crl = Get-QADPKIObject CDP | Get-QADCertificateRevocationList | where-object {$_.IssuedBy -eq "CA01" -and $_.Type -eq "Base" } ($crl.NextPublish - (Get-Date) ).TotalDays

13,6310107219329

Monitoring Active Directory Certificate Services

Stanislav Jermář — Tue, 25 Jan 2011 09:31:00 +0000

Jaké máme možnosti, pokud potřebujeme sledovat certifikační úřady (CA) založené na Windows 2008 R2 a včas reagovat na blížící se možné problémy? Moc možností není. Nejprve se podíváme na System Center Operations Manager (SCOM 2007 R2) – dlouho nebylo k dispozici nic než vlastní iniciativa a uživatelské MP. Minulý rok Microsoft vydal Active Directory Certificate Services Monitoring Management Pack, verze: 6.0.7231.0 z 12.8.2010. Zatím se nebudu vyjadřovat, protože jsem neměl příležitost se s ním podrobněji seznámit, ale už se na tom pracuje. Některé ohlasy však tvrdí, že jde o příliš jednoduchý MP, který nesplňuje očekávání.

Další možnosti jsou založené na různých skriptech VBS, které využívají existující nástroje - certutil, CAPICOM. Příkladem je skript CAMonitor.vbs, kterým jsem se už před časem zabýval. Původně samostatný skript byl upraven pro MOM 2005, sám jsem jej upravoval pro SCOM 2007 ( a zde). S přechodem na 64bitové systémy Windows už ale není použitelný. Důvodem je knihovna CAPICOM, která nefunguje v operačních systémech x64.

Nezbývá než se pustit do práce a podívat se na možnosti, které přináší Powershell. Zdá se, že bude možné nový CAMonitor.ps1 založit na modulech QAD od firmy Quest.

Příště více o možnostech zvoleného řešení.