Esiste uno strumento che segnala lo stato di PKI (date CRL, scadenza, ecc.)?

3

Sto cercando uno strumento che condurrà l'albero AIA da un nodo foglia e controllerà tutte le date e le ore CRL corrispondenti.

Idealmente controllerà anche le versioni e i trust crossover.

Esiste un tale strumento? In caso contrario, qual è il più vicino che posso raggiungere?

    
posta random65537 18.01.2017 - 17:32
fonte

1 risposta

6

Solo per aggiungere il mio centesimo.

Non sono a conoscenza di tali strumenti pronti, tuttavia questa funzione è stata richiesta da un mio cliente qualche tempo fa. Alla fine, ho finito con la mia soluzione PowerShell per Windows. Ecco due post del blog in cui descrivo il comportamento:

Sebbene i post si riferiscano a Microsoft ADCS, esiste un parametro -Certificate in cui puoi passare un certificato arbitrario.

Generalmente, lo script fa quanto segue:

  1. Prepara il certificato di input;
  2. Esegui una catena per ogni certificato per selezionare ancore affidabili e passare attraverso la catena;
  3. Recupera tutti gli URL degli emittenti da AIA;
  4. Convalidare ogni url (deve essere http o ldap) e provare a scaricare il contenuto;
  5. Se i contenuti vengono scaricati, verifica se si tratta di un certificato;
  6. Verifica se il certificato scaricato è un emittente del certificato in oggetto;
  7. Convalidare altre proprietà del certificato;
  8. Estrai URL dall'estensione CDP;
  9. Convalidare ogni url (deve essere http o ldap) e provare a scaricare il contenuto;
  10. Se i contenuti vengono scaricati, verifica se si tratta di un CRL;
  11. convalida le proprietà CRL di base, come la validità (non ancora valida, scaduta, in scadenza);
  12. Convalida se il CRL ha una firma valida (rispetto al certificato CA);
  13. Fai lo stesso per i DeltaCRL;
  14. Estrai tutti gli URL OCSP dall'estensione AIA;
  15. Convalidare la risposta OCSP inviando richiesta OCSP ed elaborando la risposta;
  16. Scrivi report sullo stato (gestito, mantengo l'oggetto report e puoi accedere alle proprietà del report);
  17. Ripeti i passaggi da 3 a 16 per ciascun certificato successivo nella catena fino al certificato di origine;
  18. Componi il rapporto di riepilogo.

Non tutti quelli che hai richiesto (i certificati incrociati non sono verificati), ma sufficienti per un buon inizio.

Dove si trova l'ultima versione della sceneggiatura? Fa parte del mio modulo PKI PowerShell. Scarica le fonti della versione più recente: link

ti serviranno solo tre file:

  • Get-EnterprisePKIHealthStatus.ps1
  • PKI.Core.dll
  • SysadminsLV.Asn1Parser.dll

Tutti i file sono firmati digitalmente da me. Se ti preoccupi delle DLL, sono aperte: PKIX.NET (PKI.Core.dll) e Asn1DerParser.NET (SysadminsLV.Asn1Parser.dll)

e l'ultima guida in linea per la funzione PowerShell: Get-EnterprisePKIHealthStatus .

HTH

    
risposta data 18.01.2017 - 18:49
fonte