Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline Kirillius  
#1 Оставлено : 11 августа 2010 г. 16:32:41(UTC)
Kirillius

Статус: Активный участник

Группы: Участники
Зарегистрирован: 02.12.2009(UTC)
Сообщений: 33
Мужчина
Откуда: Москва

Поблагодарили: 1 раз в 1 постах
Добрый день!
Помогите пожалуйста разобраться с CERTUTIL:
Стоит задача вытащить все сертификаты из базы ЦС в текстовый файл. Выполняю команду: certutil -restrict Disposition==20 -view > "c:\dump\dump.txt" всё получается.
Вторая задача вытащить только сертификаты, используемые для защищенной почты. Выполняю certutil -restrict "CertificateTemplate==ADUser, Disposition==20" -view > "c:\dump\dump.txt" не получается (пустой txt) или certutil -restrict "CertificateTemplate==1.3.6.1.5.5.7.3.4, Disposition==20" -view > "c:\dump\dump.txt" тоже не получается.
Где ошибка?
Спасибо.
Offline Kirill Sobolev  
#2 Оставлено : 11 августа 2010 г. 19:31:03(UTC)
Кирилл Соболев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,732
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 177 раз в 168 постах
В дампе certutil -restrict Disposition==20 -view есть сертификаты, у которых CertificateTemplate==ADUser или CertificateTemplate==1.3.6.1.5.5.7.3.4?
Техническую поддержку оказываем тут
Наша база знаний
Offline Kirillius  
#3 Оставлено : 11 августа 2010 г. 19:58:44(UTC)
Kirillius

Статус: Активный участник

Группы: Участники
Зарегистрирован: 02.12.2009(UTC)
Сообщений: 33
Мужчина
Откуда: Москва

Поблагодарили: 1 раз в 1 постах
Да, конечно!
Offline Kirill Sobolev  
#4 Оставлено : 11 августа 2010 г. 20:07:11(UTC)
Кирилл Соболев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,732
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 177 раз в 168 постах
И как они в дампе выглядят, хотя бы один пример?
Техническую поддержку оказываем тут
Наша база знаний
Offline Kirillius  
#5 Оставлено : 11 августа 2010 г. 20:19:31(UTC)
Kirillius

Статус: Активный участник

Группы: Участники
Зарегистрирован: 02.12.2009(UTC)
Сообщений: 33
Мужчина
Откуда: Москва

Поблагодарили: 1 раз в 1 постах
...
Certificate Extensions:
2.5.29.15: Flags = 20001(Critical, Origin=Policy), Length = 4
Key Usage
Digital Signature, Non-Repudiation, Key Encipherment, Data Encipherment (f0)

1.2.840.113549.1.9.15: Flags = 20000(Origin=Policy), Length = c
SMIME Capabilities
[1]SMIME Capability
Object ID=1.2.643.2.2.21

2.5.29.37: Flags = 20000(Origin=Policy), Length = 1f
Enhanced Key Usage
Пользователь Центра Регистрации, HTTP, TLS клиент (1.2.643.2.2.34.6)
Client Authentication (1.3.6.1.5.5.7.3.2)
Secure Email (1.3.6.1.5.5.7.3.4)

1.3.6.1.4.1.311.20.2: Flags = 20000(Origin=Policy), Length = 8
Certificate Template Name
ADUser
...
Это из дампа выдержка. Или надо сам сертификат показать???

Отредактировано пользователем 11 августа 2010 г. 20:20:41(UTC)  | Причина: Не указана

Offline Kirill Sobolev  
#6 Оставлено : 11 августа 2010 г. 20:58:48(UTC)
Кирилл Соболев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,732
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 177 раз в 168 постах
По расширениям фильтр можно установить, только если указать бинарное значение, что в случае с EKU представляется весьма нетривиальной задачей.
Техническую поддержку оказываем тут
Наша база знаний
Offline Kirillius  
#7 Оставлено : 12 августа 2010 г. 14:29:29(UTC)
Kirillius

Статус: Активный участник

Группы: Участники
Зарегистрирован: 02.12.2009(UTC)
Сообщений: 33
Мужчина
Откуда: Москва

Поблагодарили: 1 раз в 1 постах
Kirill Sobolev написал:
По расширениям фильтр можно установить, только если указать бинарное значение, что в случае с EKU представляется весьма нетривиальной задачей.

А может быть есть какой-то другой способ решения задачи? Посоветуйте куда копать?
Да и еще... А что бы значил вот этот пример с сайта technet.microsoft.com:
Чтобы отобразить числовые коды запроса сертификатов на основе шаблона идентификатора объекта 1.2.3.4.5.5.6.6.6.6.5.6, введите:
certutil -view -restrict "Certificate Template=1.2.3.4.5.5.6.6.6.6.5.6" -out requestid

Отредактировано пользователем 12 августа 2010 г. 14:34:43(UTC)  | Причина: Не указана

Offline Kirill Sobolev  
#8 Оставлено : 12 августа 2010 г. 15:02:53(UTC)
Кирилл Соболев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,732
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 177 раз в 168 постах
Цитата:
А может быть есть какой-то другой способ решения задачи? Посоветуйте куда копать?

Написать собственную утилитку, которая бы шерстила БД ЦС на предмет наличия сертификатов с заданными условиями либо анализировала вывод certutil.
Цитата:
А что бы значил вот этот пример с сайта technet.microsoft.com:
Чтобы отобразить числовые коды запроса сертификатов на основе шаблона идентификатора объекта 1.2.3.4.5.5.6.6.6.6.5.6, введите:
certutil -view -restrict "Certificate Template=1.2.3.4.5.5.6.6.6.6.5.6" -out requestid

Под числовым кодом, видимо, подразумевается идентификатор запроса.
Техническую поддержку оказываем тут
Наша база знаний
Offline Kirillius  
#9 Оставлено : 12 августа 2010 г. 15:12:50(UTC)
Kirillius

Статус: Активный участник

Группы: Участники
Зарегистрирован: 02.12.2009(UTC)
Сообщений: 33
Мужчина
Откуда: Москва

Поблагодарили: 1 раз в 1 постах
"Под числовым кодом, видимо, подразумевается идентификатор запроса."
Это я понял... Идентификатор запроса выводится в результате, но обратите внимания у них идентификатора объекта 1.2.3.4.5.5.6.6.6.6.5.6 вводится не в бинаре. Или я не понимаю чего?
Offline Kirill Sobolev  
#10 Оставлено : 13 августа 2010 г. 17:15:10(UTC)
Кирилл Соболев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,732
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 177 раз в 168 постах
Если сертификат выдан по шаблону (заполнено поле Certificate Template в БД ЦС - это видно в полном дампе сертификата), то задать фильр по этому шаблону можно не только именем, но и с помощью OID.
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.