¿Existe alguna herramienta que informe sobre el estado de PKI (fechas de CRL, vencimiento, etc.)?

3

Estoy buscando una herramienta que recorra el árbol AIA desde un nodo hoja y verifique todas las fechas y horas de CRL correspondientes.

Idealmente, también verificará las versiones y las confianzas cruzadas.

¿Existe tal herramienta? Si no, ¿qué es lo más cerca que puedo llegar a ese objetivo?

    
pregunta random65537 18.01.2017 - 17:32
fuente

1 respuesta

6

Solo para agregar mi centavo.

No tengo conocimiento de ninguna de estas herramientas listas, sin embargo, esta característica fue solicitada por un cliente mío hace algún tiempo. Finalmente, terminé con mi propia solución PowerShell para Windows. Aquí hay dos publicaciones de blog donde describo el comportamiento:

Aunque, las publicaciones se refieren a Microsoft ADCS, hay un parámetro -Certificate donde puede pasar un certificado arbitrario.

En general, el script hace lo siguiente:

  1. Preparar certificado de entrada;
  2. Ejecute la cadena para cada certificado para seleccionar anclajes de confianza y para pasar por la cadena;
  3. Recupere todas las URL del Emisor de AIA;
  4. Valide cada url (debe ser http o ldap) e intente descargar el contenido;
  5. Si se descarga el contenido, verifique si se trata de un certificado;
  6. Verifique si el certificado descargado es un emisor del certificado en el asunto;
  7. Valide otras propiedades de certificado;
  8. Extraer URL de la extensión CDP;
  9. Valide cada url (debe ser http o ldap) e intente descargar el contenido;
  10. Si se descarga el contenido, verifique si es una CRL;
  11. Valide las propiedades básicas de CRL, como la validez (aún no es válida, está vencida, está a punto de caducar);
  12. Valide si la CRL tiene una firma válida (contra el certificado de CA);
  13. Haz lo mismo con los DeltaCRL;
  14. Extraiga todas las URL de OCSP de la extensión AIA;
  15. Valide la respuesta de OCSP enviando la solicitud de OCSP y procesando la respuesta;
  16. Redactar informe de estado (administrado, mantengo el objeto de informe y puede acceder a las propiedades del informe);
  17. Repita los pasos 3-16 para cada certificado subsiguiente en la cadena hasta el certificado raíz;
  18. Redactar informe de resumen.

No todos los que has solicitado (certificados cruzados no están verificados), pero son suficientes para un buen comienzo.

¿Dónde obtener la última versión del script? Es una parte de mi módulo PowerShell PKI. Descargue las fuentes de la versión más reciente: enlace

solo necesitarás tres archivos:

  • Get-EnterprisePKIHealthStatus.ps1
  • PKI.Core.dll
  • SysadminsLV.Asn1Parser.dll

Todos los archivos están firmados digitalmente por mí. Si le preocupan los archivos DLL, estos son de origen abierto: PKIX.NET (PKI.Core.dll) y Asn1DerParser.NET (SysadminsLV.Asn1Parser.dll)

y la última ayuda en línea para la función PowerShell: Get-EnterprisePKIHealthStatus .

HTH

    
respondido por el Crypt32 18.01.2017 - 18:49
fuente

Lea otras preguntas en las etiquetas