La base de données des autorités de certification stocke une grande partie des informations sur les activités d'une autorité de certification. Elle contient entre autres des informations sur
- Certificats délivrés
- Certificats révoqués
- Listes de blocage publiées
- Demandes de certificats en attente
- Demandes de certificats refusées
- Échec de la demande de certificat
La consultation du contenu de la base de données de l'autorité de certification se fait généralement via la console de gestion de l'autorité de certification (certsrv.msc), mais les possibilités d'évaluation et surtout de traitement automatique sont très limitées.
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Si l'on souhaite obtenir une vue plus approfondie, il faut recourir à des outils en ligne de commande. Le programme certutil propose à cet effet le commutateur -view.
CertUtil [Options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]
Le site -view Schater peut être combiné, entre autres, avec les arguments suivants :
| Argument | Description |
|---|---|
| -restrict | Limite la recherche à certains critères. |
| -out | Détermine les champs de la base de données à éditer. |
| csv | Si ce bouton est activé (à la fin et sans tiret), la sortie de Certutil est éditée sous forme de contenu CSV, de sorte qu'elle puisse être traitée par une machine. |
Par exemple, pour obtenir un rapport sur tous les certificats émis, non révoqués et non encore expirés, il est possible de créer une requête correspondante, comme décrit ci-dessous.
Pour des raisons de simplicité et de clarté, l'exemple utilise Windows PowerShell afin d'obtenir des possibilités étendues pour le filtrage.
Avec la variable $Now la date est affichée sous forme de texte en fonction des paramètres régionaux de l'utilisateur connecté, de sorte qu'elle peut être utilisée comme critère de filtrage dans la suite du processus.
$Now = $((Get-Date).ToString($(Get-culture).DateTimeFormat.ShortDatePattern))
La variable $Out contient une liste des champs de la base de données à éditer, dans ce cas :
- RequestID (l'ID de demande unique du certificat)
- SerialNumber (le numéro de série du certificat)
- RequesterName (l'identité Active Directory du demandeur)
- CommonName (le nom commun (Common Name) dans le certificat)
- CertificateTemplate (le modèle de certificat à partir duquel le certificat a été créé)
- NotBefore (la date à partir de laquelle le certificat est valable)
- NotAfter (la date d'expiration du certificat)
$Out = "RequestID,SerialNumber,RequesterName,CommonName,CertificateTemplate,NotBefore,NotAfter"
La variable $Restrict définit les critères de recherche. Dans cet exemple, il s'agit de
- Certificats émis et non révoqués uniquement (Dispisition=20)
- Uniquement les certificats qui sont encore valables, c'est-à-dire qui n'ont pas encore expiré (NotAfter>=$Now)
$Restrict = "Disposition=20,NotAfter>=$Now"
La variable $Fichier détermine le nom de fichier dans lequel la sortie de la commande doit être enregistrée pour un traitement ultérieur
$Datei = "$($env:COMPUTERNAME)_Zertifikate.csv"
La commande peut maintenant être composée et exécutée
certutil -view -restrict $Restrict -out $Out csv > $Datei
Le fichier qui en résulte peut par exemple être chargé dans Excel. Pour ce faire, on ouvre un nouveau fichier et on choisit dans l'onglet Données que celles-ci doivent être importées à partir d'un fichier CSV.
Les données lues devraient avoir été importées directement et correctement.
Il est maintenant possible d'utiliser les fonctions de filtrage d'Excel pour obtenir un aperçu plus détaillé des certificats émis. Par exemple, on peut filtrer selon le champ CertificateTemplate pour afficher tous les certificats émis par un modèle de certificat donné.
Français 
Deutsch 
English
Les commentaires sont fermés.