• Bewerte uns auf OMR Reviews: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

Ablaufende Domänenzertifikate

Patrick

Member
Registriert
5 Februar 2020
Beiträge
18
Reaktionspunkte
0
Hallo,

wir versuchen gerade, einen regelmäßigen Report über ablaufende Zertifikate der Partner zu erstellen, primär sind hier natürlich Domänenzertifikate relevant.
Das Problem ist jetzt, dass es (soweit wir es festgestellt haben) über die Powershell-CMDlets keine Möglichkeit gibt, Details zum Domänenzertifikat zu bekommen.

Das Vorgehen ist generell so:

Code:
# Alle Zertifikate abrufen, die innerhalb der nächsten Woche ablaufen
$expiringCerts=Get-NspCertificate -StoreIds TrustedPeople -KeyValidity ExpiresWithinOneWeek

# Extrahierung der Domain-Namen aus den Zertifikaten 
$domainsWithExpiringCerts=$expiringCerts.mailaddresses.domain | Sort-Object | Group-Object

# Prüfen der einzelnen Domains
foreach ($domain in $domainsWithExpiringCerts) {
  # Abruf des Partners zur Prüfung des Zertifikattyps
  $partner=Get-NSPPartner -DomainFilter $domain.Name

  # [0] um nur den ersten Eintrag auszuwählen - ansonsten ergibt die Abfrage TRUE wenn mehrere Einträge für die Domain vorhanden sind
  if ($partner[0].IsDomainCertificatePresent) {
    $certType="Domain"
  } else {
    $certType="User"
  }
}


Damit bekommen wir für jeden Partner, bei welchem innerhalb der nächsten Woche ein Zertifikat abläuft, die Info, ob ein Domänenzertifikat vorhanden ist oder nicht.
Allerdings wissen wir dann noch nicht, ob tatsächlich das Domänenzertifikat abläuft oder nur ein eventuell noch vorhandenes Benutzer-Zertifikat.

Über Get-NspCertificate kann zwar das Ablaufdatum einzelner Zeritifkate geprüft werden, allerdings sehen wir bisher keine Möglichkeit herauszufinden, welches der Zertifikate denn tatsächlich zu einem Domänenzertifikat heraufgestuft wurde.
Geht das tatsächlich noch nicht, oder übersehen wir etwas?

Viele Grüße,
Patrick
 
Hallo Patrick,

ich glaube fast per reinem PS wird das aktuell nicht möglich sein.
Du könntest aber über PS eine SQL Abfrage machen und dir alle Partner Domänen holen welche ein Zertifikat haben.
Dann hast du auch gleich den Thumbprint und kannst diesen dann über die CmdLets weiterverarbeiten.
Hier mal eine Abfrage damit du dir die passenden Daten angucken kannst:
Code:
SELECT TOP (1000) [Address]
      ,[Thumbprint]
      ,[KeyType]
      ,[LocalPart]
      ,[Domain]
  FROM [NoSpamProxyAddressSynchronization].[Partner].[CryptographicKey]
  Where LocalPart like '*'

Vlt. hilft dir das aktuell direkt weiter :)


Beste Grüße,
Jan
 
Zurück
Oben