Как узнать, откуда пришел запрос на сертификат

У меня есть установка CA на Server 2012 R2, человек, который управлял сервером, покинул компанию, и я настроил новый сервер CA.

Я пытаюсь выяснить, для каких систем / URL предназначены сертификаты.

В списке выданных сертификатов есть следующие:

Идентификатор запроса: 71

Имя запрашивающего: DOMAIN \ UserName

Шаблон сертификата: Базовая EFS (EFS)

Серийный номер: 5f00000047c60993f6dff61ddb000000000047

Дата вступления в силу сертификата: 05.11.2015, 8:46

Дата окончания действия сертификата: 04.11.2016, 8:46

Страна / регион выдачи:

Выданная организация:

Выданная организационная единица: сотрудники пользователей организации

Выданное общее имя: имя сотрудника <- точное имя сотрудника

Выданный Город:

Выданное государство:

Выданный адрес электронной почты:

Когда я спрашиваю сотрудника, почему он запросил сертификат, они не помнят, почему или для какой системы он был.

Я ищу способ увидеть все запрошенные сертификаты и к каким машинам они привязаны:

Вещи, которые я пробовал / Googled:

1. Команда, похожая на Netstat, которая может сказать мне любое прослушивание или установление соединения с сервером на 443, я могу быть далеко от базы моей логики и мышления.

2. Я просмотрел средство просмотра событий, просматривая отметку времени «Дата вступления в силу сертификата: 11/05/2015 8:46», и не могу найти журналы, которые бы мне что-нибудь показывали.

3. Я попытался просмотреть базу данных с помощью команды certutil, однако мне нужно остановить службу, прежде чем я смогу просмотреть базу данных, просматривая схему, похоже, что там находится много информации, которую я ищу.

Если я остановлю службу, SSL-сертификаты все еще будут в порядке или конечный пользователь получит это предупреждение SSL?

Если я сделаю резервную копию базы данных, могу ли я переместить файл на другой компьютер и прочитать его.

Кто-нибудь знает, смогу ли я узнать, какие серверы / URL-адреса используют сертификаты в моем ЦС?

Есть ли другой лучший способ найти информацию?

When I ask the employee why they requested the certificate they don't remember why or what system it was for.

Это звучит примерно так. Сертификаты EFS (и многие другие) обычно выдаются и обновляются автоматически. Можно отключить EFS в политике или ограничить область выдачи определенной группой безопасности в шаблоне.

I am looking for a way to see all requested certs and what machines they are tied to

Сертификаты EFS обычно выдаются пользователям и неявно не ограничиваются конкретным компьютером. Существуют также другие типы сертификатов EFS, такие как Агенты восстановления данных (DRA).

I tried to look at the database using certutil,

Сертификаты должны быть видны в управлении mmc. Возможно, CA / шаблон настроен так, чтобы не сохранять копию сертификата, но это не конфигурация по умолчанию.

Does anyone know if I will be able to find what servers / URL's are using the certs on my CA?

Из ЦС? Нет. Он может содержать некоторую информацию, такую ​​как тема, которая соответствует имени компьютера или имени пользователя. Также могут быть сертификаты, выданные именам, которые не соответствуют имени компьютера или имени пользователя. Или сертификаты не могут быть сохранены в ЦС. Это вопрос, который каждый, кто использует сертификаты, запрашивает в то или иное время, и не существует единого решения для всех. Сертификаты могут существовать в хранилище сертификатов компьютера Windows, хранилище сертификатов пользователей Windows, реестре, файле в файловой системе, используемой приложением, встроенном в приложение, такое как SQL-сервер, поэтому инвентаризация сертификатов не так проста, как вы думать. И даже если они найдены, это не значит, что они используются. И даже если они используются, вы все равно можете не знать, что их использует, без дальнейшего расследования.

Лучший подход - уже иметь хорошую систему отслеживания. Следующим наилучшим подходом является регулярное сканирование вашей сети на наличие используемых портов / сертификатов.