logo
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Kirillius  
#1 Оставлено : 11 августа 2010 г. 15:32:41(UTC)
Kirillius

Статус: Активный участник

Группы: Участники
Зарегистрирован: 02.12.2009(UTC)
Сообщений: 33
Мужчина
Откуда: Москва

Поблагодарили: 1 раз в 1 постах
Добрый день!
Помогите пожалуйста разобраться с CERTUTIL:
Стоит задача вытащить все сертификаты из базы ЦС в текстовый файл. Выполняю команду: certutil -restrict Disposition==20 -view > "c:\dump\dump.txt" всё получается.
Вторая задача вытащить только сертификаты, используемые для защищенной почты. Выполняю certutil -restrict "CertificateTemplate==ADUser, Disposition==20" -view > "c:\dump\dump.txt" не получается (пустой txt) или certutil -restrict "CertificateTemplate==1.3.6.1.5.5.7.3.4, Disposition==20" -view > "c:\dump\dump.txt" тоже не получается.
Где ошибка?
Спасибо.
Offline Kirill Sobolev  
#2 Оставлено : 11 августа 2010 г. 18:31:03(UTC)
Kirill Sobolev

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,724
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 174 раз в 166 постах
В дампе certutil -restrict Disposition==20 -view есть сертификаты, у которых CertificateTemplate==ADUser или CertificateTemplate==1.3.6.1.5.5.7.3.4?
Offline Kirillius  
#3 Оставлено : 11 августа 2010 г. 18:58:44(UTC)
Kirillius

Статус: Активный участник

Группы: Участники
Зарегистрирован: 02.12.2009(UTC)
Сообщений: 33
Мужчина
Откуда: Москва

Поблагодарили: 1 раз в 1 постах
Да, конечно!
Offline Kirill Sobolev  
#4 Оставлено : 11 августа 2010 г. 19:07:11(UTC)
Kirill Sobolev

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,724
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 174 раз в 166 постах
И как они в дампе выглядят, хотя бы один пример?
Offline Kirillius  
#5 Оставлено : 11 августа 2010 г. 19:19:31(UTC)
Kirillius

Статус: Активный участник

Группы: Участники
Зарегистрирован: 02.12.2009(UTC)
Сообщений: 33
Мужчина
Откуда: Москва

Поблагодарили: 1 раз в 1 постах
...
Certificate Extensions:
2.5.29.15: Flags = 20001(Critical, Origin=Policy), Length = 4
Key Usage
Digital Signature, Non-Repudiation, Key Encipherment, Data Encipherment (f0)

1.2.840.113549.1.9.15: Flags = 20000(Origin=Policy), Length = c
SMIME Capabilities
[1]SMIME Capability
Object ID=1.2.643.2.2.21

2.5.29.37: Flags = 20000(Origin=Policy), Length = 1f
Enhanced Key Usage
Пользователь Центра Регистрации, HTTP, TLS клиент (1.2.643.2.2.34.6)
Client Authentication (1.3.6.1.5.5.7.3.2)
Secure Email (1.3.6.1.5.5.7.3.4)

1.3.6.1.4.1.311.20.2: Flags = 20000(Origin=Policy), Length = 8
Certificate Template Name
ADUser
...
Это из дампа выдержка. Или надо сам сертификат показать???

Отредактировано пользователем 11 августа 2010 г. 19:20:41(UTC)  | Причина: Не указана

Offline Kirill Sobolev  
#6 Оставлено : 11 августа 2010 г. 19:58:48(UTC)
Kirill Sobolev

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,724
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 174 раз в 166 постах
По расширениям фильтр можно установить, только если указать бинарное значение, что в случае с EKU представляется весьма нетривиальной задачей.
Offline Kirillius  
#7 Оставлено : 12 августа 2010 г. 13:29:29(UTC)
Kirillius

Статус: Активный участник

Группы: Участники
Зарегистрирован: 02.12.2009(UTC)
Сообщений: 33
Мужчина
Откуда: Москва

Поблагодарили: 1 раз в 1 постах
Kirill Sobolev написал:
По расширениям фильтр можно установить, только если указать бинарное значение, что в случае с EKU представляется весьма нетривиальной задачей.

А может быть есть какой-то другой способ решения задачи? Посоветуйте куда копать?
Да и еще... А что бы значил вот этот пример с сайта technet.microsoft.com:
Чтобы отобразить числовые коды запроса сертификатов на основе шаблона идентификатора объекта 1.2.3.4.5.5.6.6.6.6.5.6, введите:
certutil -view -restrict "Certificate Template=1.2.3.4.5.5.6.6.6.6.5.6" -out requestid

Отредактировано пользователем 12 августа 2010 г. 13:34:43(UTC)  | Причина: Не указана

Offline Kirill Sobolev  
#8 Оставлено : 12 августа 2010 г. 14:02:53(UTC)
Kirill Sobolev

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,724
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 174 раз в 166 постах
Цитата:
А может быть есть какой-то другой способ решения задачи? Посоветуйте куда копать?

Написать собственную утилитку, которая бы шерстила БД ЦС на предмет наличия сертификатов с заданными условиями либо анализировала вывод certutil.
Цитата:
А что бы значил вот этот пример с сайта technet.microsoft.com:
Чтобы отобразить числовые коды запроса сертификатов на основе шаблона идентификатора объекта 1.2.3.4.5.5.6.6.6.6.5.6, введите:
certutil -view -restrict "Certificate Template=1.2.3.4.5.5.6.6.6.6.5.6" -out requestid

Под числовым кодом, видимо, подразумевается идентификатор запроса.
Offline Kirillius  
#9 Оставлено : 12 августа 2010 г. 14:12:50(UTC)
Kirillius

Статус: Активный участник

Группы: Участники
Зарегистрирован: 02.12.2009(UTC)
Сообщений: 33
Мужчина
Откуда: Москва

Поблагодарили: 1 раз в 1 постах
"Под числовым кодом, видимо, подразумевается идентификатор запроса."
Это я понял... Идентификатор запроса выводится в результате, но обратите внимания у них идентификатора объекта 1.2.3.4.5.5.6.6.6.6.5.6 вводится не в бинаре. Или я не понимаю чего?
Offline Kirill Sobolev  
#10 Оставлено : 13 августа 2010 г. 16:15:10(UTC)
Kirill Sobolev

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,724
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 174 раз в 166 постах
Если сертификат выдан по шаблону (заполнено поле Certificate Template в БД ЦС - это видно в полном дампе сертификата), то задать фильр по этому шаблону можно не только именем, но и с помощью OID.
Online kvazer13  
#11 Оставлено : 9 февраля 2015 г. 10:05:54(UTC)
kvazer13

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.12.2013(UTC)
Сообщений: 33

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 3 раз в 2 постах
Добрый день.
Есть аналогичная задача, только вытащить нужно не все сертификаты, а только действующие на данный момент.
Подскажите, пожалуйста, каким запросом certutil можно это сделать?
Online kvazer13  
#12 Оставлено : 11 февраля 2015 г. 17:05:19(UTC)
kvazer13

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.12.2013(UTC)
Сообщений: 33

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 3 раз в 2 постах
Автор: kvazer13 Перейти к цитате
Добрый день.
Есть аналогичная задача, только вытащить нужно не все сертификаты, а только действующие на данный момент.
Подскажите, пожалуйста, каким запросом certutil можно это сделать?


К сожалению, вопрос всё ещё ауктуален.
thanks 1 пользователь поблагодарил kvazer13 за этот пост.
dmitrygis оставлено 13.12.2016(UTC)
Offline dmitrygis  
#13 Оставлено : 13 декабря 2016 г. 7:44:36(UTC)
dmitrygis

Статус: Участник

Группы: Участники
Зарегистрирован: 21.10.2010(UTC)
Сообщений: 26
Откуда: NN

Сказал(а) «Спасибо»: 5 раз
Автор: kvazer13 Перейти к цитате
Автор: kvazer13 Перейти к цитате
Добрый день.
Есть аналогичная задача, только вытащить нужно не все сертификаты, а только действующие на данный момент.
Подскажите, пожалуйста, каким запросом certutil можно это сделать?


К сожалению, вопрос всё ещё ауктуален.


Актуальность поддерживаю, хотя бы для всех сертификатов, действующих на данный момент.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.