Aufräumen in der Zertifikatsverwaltung?

[mabu]

Hallo.

Habe eben auf die schnelle per Suche nichts gefunden (aber vielleicht auch nicht wirklich gut gesucht ).

Wir nutzen den NSP ja nun schon einige Jahre und somit gibt es in der Zertifikatsverwaltung so einiges, was schon seit längerem abgelaufen ist. Wie geht Ihr damit um?

Löscht Ihr da auch mal was? Und wenn ja, per Skript oder manuell?

Oder einfach nichts dran machen und alle vorhandenen Zertifikate drin lassen?

 

[SebastianU]

Hi,

wir entfernen die abgelaufenen Zertifikate einmal im Monat. Das läuft bei uns händisch
Vermutlich könnte man das auch per Skript laufen lassen, dazu habe ich aber keine Infos gefunden.

Gruß
Sebastian

 

[JanJäschke]

Hey,

prinzipiell kann man sagen, dass du jederzeit die abgelaufenen öffentlichen Zertifikate aus dem NSP entfernen kannst. Diese werden ab dem Ablaufzeitpunkt nämlich nicht mehr verwendet.
Bei dem eigenen Schlüsselmaterial ist hingegen etwas Vorsicht geboten, zum einen könnte dir noch jemand eine verschlüsselte E-Mail damit schicken und zum anderen brauchst du den Privaten Schlüssel ggf. in Zukunft nochmal um E-Mails aus dem Archiv heraus zu entschlüsseln.
Das steht und fällt natürlich mit eurer Nutzung und Infrastruktur

Ansonsten kann man per PowerShell die Zertifikate entsprechend filtern, exportieren und löschen so dass sich das ganze komplett automatisieren lässt.

Github: Export-MyNspPublicCertificates (Die Anpassung für Private Schlüssel ist derzeit noch nicht online)

Gruß
Jan

 

[wagnerv]

@JanJäschke hattest du mir nicht zu genau dem Thema ein Powershellskript geschickt? per PN.
ich muss zugeben es funktioniert gut, nur dauert lange.

 

[JanJäschke]

Du fragst Sachen
Kann gut sein, ich habe für die Privaten Schlüssel auch bereits eine fertige Version auf meinem PC liegen, da die aber noch nicht v14/15 kompatible ist wollte ich sie nicht direkt anhängen. Wenn ich die Zeitfinde pushe ich das lieber später noch ins Github

Gruß
Jan

 

[StefanCink]

Um meinen inneren Monk zu befriedigen möchte ich gerne noch folgendes loswerden: Ich persönlich würde niemals private Schlüssel löschen. Nur die öffentlichen Schlüssel und Zertifikatsketten.
Gruß Stefan

 

[869288141]

Hallo Stefan,

Um meinen inneren Monk zu befriedigen möchte ich gerne noch folgendes loswerden: Ich persönlich würde niemals private Schlüssel löschen. Nur die öffentlichen Schlüssel und Zertifikatsketten.

dem Serien Monk ist das aber ein Dorn im Auge. Das wäre ja asymmetrisch...


Gruß,
Daniel

 

[StefanCink]

Ich frage bei Jan und Sören mal an, ob wir ein eigenes Board für Monks aufmachen.

 

[Sören]

dem Serien Monk ist das aber ein Dorn im Auge. Das wäre ja asymmetrisch...

ja wäre es, aber Kollege Cink hat Recht...die eigenen Schlüsselpaare würde ich auch niemals löschen

Ich frage bei Jan und Sören mal an, ob wir ein eigenes Board für Monks aufmachen.

ich zitiere mal deinen Button im Büro

 

[JanJäschke]

Ich habe mal das Skript für die Privaten Schlüssel veröffentlicht:

Troubleshooting/Export-MyNspCertificates at master · noSpamProxy/Troubleshooting

This repository contains PowerShell Scripts to troubleshoot or fix NoSpamProxy installations. - noSpamProxy/Troubleshooting

github.com

 

[mabu]

Okay. Also ein Skript, in dem z.B. alle öffentlichen Zertifikate bis zu einem gewissen Datum direkt gelöscht werden, gibt es somit nicht in Github. Korrekt?

 

[JanJäschke]

Nein gibt es nicht, ist prinzipiell ein Einzeiler:

Get-NspCertificate -StoreIds TrustedPeople -KeyValidity Expired | Remove-NspCertificate

Mittels '-First' und '-Skip' könnte falls notwendig ein paging eingebaut werden.
Mittels einer 'Where' Abfrage lässt sich das dann auch noch nur bestimmte Zeitliche Bereiche machen:

Get-NspCertificate -StoreIds TrustedPeople -KeyValidity Expired | Where {$_.ValidTo -lt '2024-01-01'} | Remove-NspCertificate

Gruß
Jan