🔐 Как массово отозвать сертификаты в удостоверяющем центре?

Добрый день!

Иногда может возникнуть необходимость в массовом отзыве сертификатов, выданных ваших удостоверяющим центром, например украли сейф с ключевыми носителями.

В указанной ситуации сидеть и отзывать по одному, когда их сотни или тысячи совсем уж вышло бы долго.

Покажу как это сделать быстро.

Как отозвать сертификаты CA

Для начала необходимо выгрузить список выданных сертификатов с центра сертификации:

Полученный список открываем в Exel и сортируем необходимым параметрам с помощью фильтра, в данном случае по полю “Выданное подразделение” . В полученном списке выделаем поле “Серийный номер” и копируем в тестовый файл.

Дальше запускаем скрипт на PowerShell

Import-Module pspki

$txt1 = "C:\certs\2.txt"
$temp1 = Get-Content $txt1
$temp1

ForEach ($temp in $temp1)
{Get-CertificationAuthority CA.mydomain.local | Get-IssuedRequest -Filter "SerialNumber -eq $temp"| Revoke-Certificate -Reason "CeaseOfOperation"}

где

1. “C:\certs\2.txt” – файл со списком серийных номеров сертификатов, подготовленных к отзыву

2.CA.mydomain.local  – имя сервера удостоверяющего центра

3. “CeaseOfOperation” – причина отзыва (Прекращение работы)

Доступные причины отзыва сертификата:

• Unspecified – (по умолчанию) используется, если сертификат отозван по причине, выходящей за рамки поддерживаемых причин.
• KeyCompromise-используется, если секретный ключ сертификата был украден или стал известен неавторизованному лицу.
  CACompromise-используется, если закрытый ключ сертификата CA был украден или стал известен неавторизованному лицу.
• AffiliationChanged-используется, когда сотрудник (или другая организация) изменил свою принадлежность (должность) и текущие сертификаты больше не требуются на новой должности.
  Заменено-используется, когда доступна новая версия сертификата (например, с новым выпуском, политикой приложения или с обновленными расширениями) и предыдущий (но все еще действительный) сертификат не должен использоваться.
• CeaseOfOperation-используется, когда сотрудник покидает компанию, или устройство выводится из эксплуатации.
• Hold-используется для временного отзыва сертификата. Например, когда сотрудник находится в отпуске.
• Unrevoke – используется для выпуска сертификата из CRL. Если сертификат был отозван с любым кодом причины, отличным от “Hold”, он не может быть восстановлен.