מתי ה-Certificate בשרת מסתיים?

פעמים רבות נתקלתי בארגונים מסוימים ש“פתאום” התסיים פג התוקף של התעודה והשירות התגלה כלא זמין. אחד הדברים שאנשי סיסטם לא מנהלים ביומיום הוא תעודות דיגטליות ותוקפן. ביננו מתי יצא לכם לבדוק מה הפג תוקף בתעודה דיגיטלית של שרת או שירות? אני בספק אם רוב אנשי סיסטם היו יכולים לתת תשובה לשאלה הנ”ל.
בניהול היומיומי של אינספור משימות ופרויקטים ועם כמות הטכנולוגיות שמתרבות, תסכימו איתי שניהול תעודות דיגיטליות הוא בעדיפות נמוכה. כמובן שהייתם רוצים לחסוך לעצמכם את הניהול של תעודות דיגיטליות ביומיום. אז בטכנולוגיה כמו לכל דבר יש מענה ויש פתרון, כמו גם לגבי פג תוקף של תעודות דיגיטליות.
לכל תעודה דיגיטלית ישנו תוקף, כאשר נפתח תעודה דיגיטלית נוכל לראות את ה-Valid to או valid from xx/x/xxxx to xxx/xx/xxxx, לכן ישנם כמה כלים ופתרונות שיכולים לתת התראות, לשלוח דוח וכו’.
PowerShell
לדעתי אחד מכלי הניהול החזקים ש-Microsoft הוציאה אי פעם, פקודת PowerShell שמציגה את  התאריך שבו התעודה עומדת להסתיים.
1. העתקת הפקודה ושמירה אל קובץ ps1
get-item cert:LocalMachine* | get-ChildItem | Where-Object -FilterScript {($_.NotAfter -lt (Get-Date))} | format-list -property PSPath,FriendlyName,NotAfter
2. הרצת Schduele Task מתוך השרת עם הסקריפט.
ADCS Certificate Expiration Report Tool
כלי שמאפשר שליחת דו”ח לגבי תעודות דיגיטליות שיסתיימו בעוד 30 יום, על מנת להריץ את הדו”ח יש לבצע את הפעולות הבאות:

1. הורדה והתקנת כלי ניהול של PKI מהקישור הבא, PSPKI.
2. הורדת Certificate Expiration Report
3. הגדרת Schduele Task מתוך השרת עם הסקריפט.

Certificate Expiration Alerting

כלי שמאפשר שליחת התראה לקבוצת משתמשים לגבי תעודות דיגיטליות שפג תוקפן מתקרב, על מנת להריץ את הכלי יש לבצע את הפעולות הבאות

1. הורדת Certificate Expiration Alerting

2. הגדרת Schduele Task משרתי ה-CA.
3. אפשר להריץ את הכלי עם הפרמטרים הבאים:
M – הגדרת כתובת שרת דואר
S – כתובת השולח
R – כתובת נמען, יכול להיות גם Distrubution group
D – מספר ימים לפני פג תוקף של התעודות
C – שרת CA

 

נכתה ע"י אלי שלמה

דילוג לתוכן