Добрый день!
Иногда может возникнуть необходимость в массовом отзыве сертификатов, выданных ваших удостоверяющим центром, например украли сейф с ключевыми носителями.
В указанной ситуации сидеть и отзывать по одному, когда их сотни или тысячи совсем уж вышло бы долго.
Покажу как это сделать быстро.
Как отозвать сертификаты CA
Для начала необходимо выгрузить список выданных сертификатов с центра сертификации:
Полученный список открываем в Exel и сортируем необходимым параметрам с помощью фильтра, в данном случае по полю “Выданное подразделение” . В полученном списке выделаем поле “Серийный номер” и копируем в тестовый файл.
Дальше запускаем скрипт на PowerShell
Import-Module pspki
$txt1 = "C:\certs\2.txt"
$temp1 = Get-Content $txt1
$temp1
ForEach ($temp in $temp1)
{Get-CertificationAuthority CA.mydomain.local | Get-IssuedRequest -Filter "SerialNumber -eq $temp"| Revoke-Certificate -Reason "CeaseOfOperation"}
где
1. “C:\certs\2.txt” – файл со списком серийных номеров сертификатов, подготовленных к отзыву
2.CA.mydomain.local – имя сервера удостоверяющего центра
3. “CeaseOfOperation” – причина отзыва (Прекращение работы)
Доступные причины отзыва сертификата:
- Unspecified – (по умолчанию) используется, если сертификат отозван по причине, выходящей за рамки поддерживаемых причин.
- KeyCompromise-используется, если секретный ключ сертификата был украден или стал известен неавторизованному лицу.
CACompromise-используется, если закрытый ключ сертификата CA был украден или стал известен неавторизованному лицу. - AffiliationChanged-используется, когда сотрудник (или другая организация) изменил свою принадлежность (должность) и текущие сертификаты больше не требуются на новой должности.
Заменено-используется, когда доступна новая версия сертификата (например, с новым выпуском, политикой приложения или с обновленными расширениями) и предыдущий (но все еще действительный) сертификат не должен использоваться. - CeaseOfOperation-используется, когда сотрудник покидает компанию, или устройство выводится из эксплуатации.
- Hold-используется для временного отзыва сертификата. Например, когда сотрудник находится в отпуске.
- Unrevoke – используется для выпуска сертификата из CRL. Если сертификат был отозван с любым кодом причины, отличным от “Hold”, он не может быть восстановлен.
На питоне бы)
Напиши))