Come scoprire da dove proviene una richiesta di certificato

Ho una configurazione CA su Server 2012 R2, la persona che ha eseguito il server ha lasciato la società e ho impostato un nuovo server CA.

Sto cercando di capire a quali sistemi / URL servono i certificati.

Nell'elenco dei certificati rilasciati è il seguente:

ID richiesta: 71

Nome richiedente: DOMINIO \ Nome utente

Modello di certificato: EFS di base (EFS)

Numero di serie: 5f00000047c60993f6dff61ddb000000000047

Data di entrata in vigore del certificato: 11/05/2015 8:46

Data di scadenza del certificato: 11/04/2016 8:46

Paese / regione emessa:

Organizzazione emessa:

Unità organizzativa rilasciata: dipendenti utenti dell'organizzazione

Nome comune rilasciato: Nome dipendente <- Nome acuto del dipendente

Città Rilasciata:

Stato rilasciato:

Indirizzo email emesso:

Quando chiedo al dipendente perché hanno richiesto il certificato, non si ricordano perché o per quale sistema fosse.

Sto cercando un modo per vedere tutti i certificati richiesti e le macchine a cui sono legati:

Cose che ho provato / cercato su Google:

1. Un comando simile a Netstat che potrebbe dirmi qualsiasi ascolto o connessione stabilita al server su 443, potrei essere molto fuori base sulla mia logica e il mio pensiero.

2. Ho esaminato il visualizzatore eventi guardando il timestamp "Data di validità del certificato: 11/05/2015 8:46" e non sono riuscito a trovare alcun registro che mi mostri qualcosa.

3. Ho provato a guardare il database usando il comando certutil, tuttavia devo interrompere il servizio prima di poter visualizzare il database, guardando lo schema sembra che molte delle informazioni che sto cercando potrebbero essere lì.

Se interrompo il servizio, i certificati SSL continueranno a essere validi o l'utente finale riceverà tale avviso SSL?

Se eseguo un backup del database, posso spostare il file su un PC differnet ed essere in grado di leggerlo.

Qualcuno sa se sarò in grado di trovare quali server / URL stanno usando i certificati sulla mia CA?

Esiste un modo diverso diverso per trovare le informazioni?

When I ask the employee why they requested the certificate they don't remember why or what system it was for.

Sembra giusto. I certificati EFS (e molti altri) vengono in genere emessi e rinnovati automaticamente. È possibile disabilitare EFS nella politica o limitare l'ambito di emissione a un gruppo di sicurezza specifico nel modello.

I am looking for a way to see all requested certs and what machines they are tied to

I certificati EFS sono in genere rilasciati agli utenti e implicitamente non limitati a un computer specifico. Esistono anche altri tipi di certificati EFS, come Data Recovery Agents (DRA).

I tried to look at the database using certutil.

I certificati dovrebbero essere visibili nel mmc di gestione. È possibile che CA / template sia configurato per non salvare una copia del certificato, ma questa non è la configurazione predefinita.

Does anyone know if I will be able to find what servers / URL's are using the certs on my CA?

Dalla CA? No. Potrebbe contenere alcune informazioni come un soggetto che corrisponde al nome del computer o al nome utente. Potrebbero inoltre essere emessi certificati per nomi che non corrispondono a un nome computer o nome utente. Oppure i certificati non possono essere salvati nella CA. Questa è una domanda che tutti gli utenti che utilizzano i certificati pongono in un momento o nell'altro e non esiste una soluzione unica per tutti. I certificati possono esistere in un archivio certificati di un computer Windows, un archivio certificati utente di Windows, il registro, un file su un file system utilizzato da un'applicazione, incorporato in un'applicazione come SQL Server, quindi fare l'inventario in cui i certificati non sono così semplici come si farebbe pensare. E anche se vengono trovati, ciò non significa che siano in uso. E anche se sono in uso, potresti ancora non sapere cosa li sta usando senza ulteriori indagini.

L'approccio migliore è avere già un buon sistema di tracciamento in atto. Il prossimo approccio migliore è quello di avere la tua rete regolarmente scansionata per porte / certificati in uso.