Отслеживание удаления клиентских сертификатов

811
CJM

Я подключаюсь к некоторым удаленным веб-службам, которым для проверки подлинности требуется сертификат клиента. Используя определенные инструменты (например, SOAPUI), я могу указать сертификат напрямую, но при выполнении быстрых запросов на проверку службы я обычно использую IE.

IE требует, чтобы у меня был установлен один или несколько клиентских сертификатов против моего пользователя, что - при установке - работает нормально.

Однако, кажется, что мои клиентские сертификаты удаляются, по крайней мере, еженедельно. Это достаточно простая задача для их повторной установки, но, учитывая, что наша служба поддержки заявила, что они не знают о каких-либо автоматизированных операциях, которые могли бы удалить эти сертификаты, это на самом деле не должно быть необходимым.

Пара коллег установили одинаковые сертификаты на свои профили, и у них не было той же проблемы.

Поэтому мне нужно как-то отследить, что делает это; вопрос в том, как мне это сделать?

Есть ли что-то, что я могу установить, чтобы сделать это видимым в средстве просмотра событий, или это будет видно по умолчанию? Есть ли сторонний инструмент, который может мне помочь?

1

1 ответ на вопрос

0
harrymc

В статье Microsoft « Уведомления о жизненном цикле служб сертификации» описывается следующее в разделе «Просмотр событий» :

Начиная с Windows 8 и Windows Server 2012, были добавлены два новых журнала событий для учета событий жизненного цикла служб сертификатов. Эти новые журналы находятся в приложении «Просмотр событий» в разделе «Журналы приложений и служб», Microsoft, Windows как:

  • CertificateServicesClient-Lifecycle-System
  • CertificateServicesClient-Lifecycle-User

Каждый журнал имеет подчиненный операционный журнал, в который записываются события служб сертификации.

Вы можете найти эти журналы, следуя по этому пути в окне просмотра событий:
Журналы приложений и служб -> Microsoft -> Windows .

Если это работает для вас, вы можете найти информацию об удалении сертификата в удаленном событии или в другом подобном событии.

Боюсь, я уже просмотрел программу просмотра событий, но эти два журнала отсутствуют в моей системе. Я посмотрел, нужно ли их как-то включить, но пока не удалось. CJM 7 лет назад 0
Какая версия Windows? harrymc 7 лет назад 0
Server 2008 R2 Standard CJM 7 лет назад 0
2008 R2 слишком стар для этого журнала. Тогда [этот ответ] (https://serverfault.com/a/639413/18736) может иметь отношение: «Сторонние корневые центры сертификации могут быть удалены Windows, если они не будут распознаны». Возможно, на компьютере отсутствует этот доверенный центр сертификации (ЦС). Не рекомендуется, но, как описано [здесь] (http://toastergremlin.com/?p=144), вы можете отключить автоматические корневые сертификаты Windows: Запустите gpedit.msc -> Административные шаблоны -> Система -> Управление интернет-коммуникациями -> Интернет Настройки связи и отключение «Отключить автоматическое обновление корневых сертификатов». harrymc 7 лет назад 1
По иронии судьбы корневой сертификат (которому доверяют цепочки сертификатов) не удаляется. Кроме того, коллега установил точно такой же сертификат клиента на своей учетной записи на том же компьютере, и его не удаляют. CJM 7 лет назад 0
Вы можете [включить аудит] (https://technet.microsoft.com/en-us/library/cc771070 (v = ws.11) .aspx) в каталоге, содержащем файлы закрытого ключа, обычно `% USERPROFILE% \ AppData \ Roaming \ Microsoft \ Crypto \ RSA \ [SID пользователя A] \ `. Смотрите также [эта статья] (http://www.windows7library.com/blog/security/monitoring-files-and-folders/). Что я не уверен, так это то, удаляет ли удаление сертификата закрытый ключ. harrymc 7 лет назад 0
Стоит попробовать ..... Я дам вам знать. CJM 7 лет назад 0

Похожие вопросы