Archiv pro štítek: pki

Active Directory Certificate Services AD CS Overview

Přehled – včetně změn zavedených ve Windows 2008 R2:

Zdroj: Active Directory Certificate Services AD CS Overview – TechNet Articles – Home – TechNet Wiki.

PowerShell a stav CRL

Výpis platnosti seznamu odvolaných certifikátů pomocí PowerShellu + rozšíření (Quest) ActiveRoles Management Shell

PS X:\> Get-QADPKIObject CDP | Get-QADCertificateRevocationList |  where-object {$_.IssuedBy -eq "CA01"}

Type    Number   BaseNumber   KeyIndex     EffectiveDate   NextUpdate      Entries  Issuer
----    ------   ----------   --------     -------------   ----------      -------  ------
Base    3                     0            27.1.2011       11.2.2011       0        CN=CA01, DC=studio...
Delta   2                     0            23.1.2011       7.2.2011        0        CN=CA01, DC=studio...

Počet zbývajících dní platnosti úplného seznamu CRL zjistíme:

$crl = Get-QADPKIObject CDP | Get-QADCertificateRevocationList | where-object {$_.IssuedBy -eq "CA01" -and $_.Type -eq "Base" }
($crl.NextPublish - (Get-Date) ).TotalDays

13,6310107219329

Monitoring Active Directory Certificate Services

Jaké máme možnosti, pokud potřebujeme sledovat certifikační úřady (CA) založené na Windows 2008 R2 a včas reagovat na blížící se možné problémy? Moc možností není. Nejprve se podíváme na System Center Operations Manager (SCOM 2007 R2) – dlouho nebylo k dispozici nic než vlastní iniciativa a uživatelské MP. Minulý rok Microsoft vydal Active Directory Certificate Services Monitoring Management Pack, verze: 6.0.7231.0 z 12.8.2010. Zatím se nebudu vyjadřovat, protože jsem neměl příležitost se s ním podrobněji seznámit, ale už se na tom pracuje. Některé ohlasy však tvrdí, že jde o příliš jednoduchý MP, který nesplňuje očekávání.

Další možnosti jsou založené na různých skriptech VBS, které využívají existující nástroje – certutil, CAPICOM. Příkladem je skript CAMonitor.vbs, kterým jsem se už před časem zabýval. Původně samostatný skript byl upraven pro MOM 2005, sám jsem jej upravoval pro SCOM 2007 ( a zde). S přechodem na 64bitové systémy Windows už ale není použitelný. Důvodem je knihovna CAPICOM, která nefunguje v operačních systémech x64.

Nezbývá než se pustit do práce a podívat se na možnosti, které přináší Powershell. Zdá se, že bude možné nový CAMonitor.ps1 založit na modulech QAD od firmy Quest.

Příště více o možnostech zvoleného řešení.