Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Ablaufende Domänenzertifikate
#1
Hallo,

wir versuchen gerade, einen regelmäßigen Report über ablaufende Zertifikate der Partner zu erstellen, primär sind hier natürlich Domänenzertifikate relevant.
Das Problem ist jetzt, dass es (soweit wir es festgestellt haben) über die Powershell-CMDlets keine Möglichkeit gibt, Details zum Domänenzertifikat zu bekommen.

Das Vorgehen ist generell so:

Code:
# Alle Zertifikate abrufen, die innerhalb der nächsten Woche ablaufen
$expiringCerts=Get-NspCertificate -StoreIds TrustedPeople -KeyValidity ExpiresWithinOneWeek

# Extrahierung der Domain-Namen aus den Zertifikaten
$domainsWithExpiringCerts=$expiringCerts.mailaddresses.domain | Sort-Object | Group-Object

# Prüfen der einzelnen Domains
foreach ($domain in $domainsWithExpiringCerts) {
  # Abruf des Partners zur Prüfung des Zertifikattyps
  $partner=Get-NSPPartner -DomainFilter $domain.Name

  # [0] um nur den ersten Eintrag auszuwählen - ansonsten ergibt die Abfrage TRUE wenn mehrere Einträge für die Domain vorhanden sind
  if ($partner[0].IsDomainCertificatePresent) {
    $certType="Domain"
  } else {
    $certType="User"
  }
}


Damit bekommen wir für jeden Partner, bei welchem innerhalb der nächsten Woche ein Zertifikat abläuft, die Info, ob ein Domänenzertifikat vorhanden ist oder nicht.
Allerdings wissen wir dann noch nicht, ob tatsächlich das Domänenzertifikat abläuft oder nur ein eventuell noch vorhandenes Benutzer-Zertifikat.

Über Get-NspCertificate kann zwar das Ablaufdatum einzelner Zeritifkate geprüft werden, allerdings sehen wir bisher keine Möglichkeit herauszufinden, welches der Zertifikate denn tatsächlich zu einem Domänenzertifikat heraufgestuft wurde.
Geht das tatsächlich noch nicht, oder übersehen wir etwas?

Viele Grüße,
Patrick
Zitieren
#2
Hallo Patrick,

ich glaube fast per reinem PS wird das aktuell nicht möglich sein.
Du könntest aber über PS eine SQL Abfrage machen und dir alle Partner Domänen holen welche ein Zertifikat haben.
Dann hast du auch gleich den Thumbprint und kannst diesen dann über die CmdLets weiterverarbeiten.
Hier mal eine Abfrage damit du dir die passenden Daten angucken kannst:
Code:
SELECT TOP (1000) [Address]
      ,[Thumbprint]
      ,[KeyType]
      ,[LocalPart]
      ,[Domain]
  FROM [NoSpamProxyAddressSynchronization].[Partner].[CryptographicKey]
  Where LocalPart like '*'

Vlt. hilft dir das aktuell direkt weiter Smile


Beste Grüße,
Jan
Zitieren


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste