mit Powershell nach einem cert in der OU suchen

mzaplata · 5. Dezember 2023

Hallo zusammen,

ich brauche mal eure Hilfe.

Ich möchte gerne alle WindowsServer aufgelistet bekommen, die ein bestimmtes Zertifikat installiert haben.

Habt Ihr eine Idee?

cj_berlin · 5. Dezember 2023

vor 5 Minuten schrieb mzaplata:

Habt Ihr eine Idee?

Ja. Wenn das halbwegs sauber gemanagt wurde, dann müsste ja jeder Server, der das Zertifikat hat, unter einem der FQDNs in den SANs dieses Zertifikats zu finden sein ;-)

In der realen Welt, wenn Du den SHA-1 Thumbprinmt des Zertifikats hast, kannst Du

 Invoke-Command -ComputerName @("SERVER01","SERVER02") -ScriptBlock {Get-ChildItem Cert:\LocalMachine\My\<Thumbprint> -EA SilentlyContinue}

abschießen. In der rechten Spalte siehst Du dann die Namen der Server, die das Zertifikat haben :-)

NorbertFe · 5. Dezember 2023

vor 1 Minute schrieb cj_berlin:

FQDNs in den SANs

Bekommst du auch so oft die Frage, warum da keine IP Adressen drin stehen bei "privaten Zertifikaten"? ;)

cj_berlin · 5. Dezember 2023

Die meisten, die mich kennen, trauen sich nicht, die Frage zu stellen.

daabm · 5. Dezember 2023

mzaplata · 6. Dezember 2023

Erst einmal danke für eure Rückmeldungen:

Am liebsten würde ich gerne eine Möglichkeit finden, nicht jeden Server ein Script ausführen zu wollen, sondern dass das mir ausgibt, auf welchen Servern das eine Zertifikat ist. Zertifikatsname ist bekannt.

bearbeitet 6. Dezember 2023 von mzaplata

tesso · 6. Dezember 2023

Das wird nicht gehen.

Du willst die einzelnen Server nicht abfragen, hättest aber gerne Information über Inhalte die nur auf den Servern stehen.

Finde den Fehler.

mzaplata · 6. Dezember 2023

Vllt. hab ich mich falsch ausgedrückt. Ich wollte bloss nicht ein Script auf den Server einzeln ausführen.

Das das Script oder vllt ein Tool alle Server abfragen muss ist mir schon klar.

cj_berlin · 6. Dezember 2023

Die Lösung steht oben.

tesso · 6. Dezember 2023

vor 16 Stunden schrieb cj_berlin:
In der realen Welt, wenn Du den SHA-1 Thumbprinmt des Zertifikats hast, kannst Du
 Invoke-Command -ComputerName @("SERVER01","SERVER02") -ScriptBlock {Get-ChildItem Cert:\LocalMachine\My\<Thumbprint> -EA SilentlyContinue}
abschießen. In der rechten Spalte siehst Du dann die Namen der Server, die das Zertifikat haben

Dann hast du schon eine Antwort bekommen.

mzaplata · 6. Dezember 2023

Danke cj_berlin..

leider hab ich den SHA-1 Thumbprint nicht. Nur den Namen.

tesso · 6. Dezember 2023

Dann hole alle jeweils alle Zertifikate und vergleiche den Namen.

testperson · 6. Dezember 2023

Hi,

hier findest du noch Ansätze: about Certificate Provider - PowerShell | Microsoft Learn

Das sollte dann in deine Richtung gehen:

$getChildItemSplat = @{
    Path = 'cert:\*'
    Recurse = $true
    DnsName = "*<Hier der DNS Name>*"
}
Get-ChildItem @getChildItemSplat

# Alternativ nur den eigenen Zertifikatsspeicher durchsuchen
      
$getChildItemSplat = @{
    Path = 'Cert:\LocalMachine\My'
    DnsName = "*<Hier der DNS Name>*"
}
Get-ChildItem @getChildItemSplat

Du musst da natürlich noch den "Invoke-Command"-Part aus @cj_berlins Antwort "drumrumbauen".

Gruß

Jan

cj_berlin · 6. Dezember 2023

vor 12 Minuten schrieb mzaplata:

leider hab ich den SHA-1 Thumbprint nicht. Nur den Namen.

Dann geh auf einen Server, wo Du *weisst*, dass das Cert dort installiert ist (gerne per obigem Code-Snippet, aber ohne den Thumbprint und den Backslash davor), und hol Dir den Thumbprint :-)

Anmelden

mit Powershell nach einem cert in der OU suchen

Empfohlene Beiträge

mzaplata 0

cj_berlin 1.508

NorbertFe 2.277

cj_berlin 1.508

daabm 1.428

mzaplata 0

tesso 384

mzaplata 0

cj_berlin 1.508

tesso 384

mzaplata 0

tesso 384

testperson 1.857

cj_berlin 1.508

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Benutzerkonto erstellen

Anmelden

Menu

Aktivitäten