mit Powershell nach einem cert in der OU suchen

[mzaplata 0]

Hallo zusammen,

 

ich brauche mal eure Hilfe. 

Ich möchte gerne alle WindowsServer aufgelistet bekommen, die ein bestimmtes Zertifikat installiert haben.

 

Habt Ihr eine Idee?

[cj_berlin 1.323]

vor 5 Minuten schrieb mzaplata:

 

Habt Ihr eine Idee?

Ja. Wenn das halbwegs sauber gemanagt wurde, dann müsste ja jeder Server, der das Zertifikat hat, unter einem der FQDNs in den SANs dieses Zertifikats zu finden sein  

 

In der realen Welt, wenn Du den SHA-1 Thumbprinmt des Zertifikats hast, kannst Du 

 Invoke-Command -ComputerName @("SERVER01","SERVER02") -ScriptBlock {Get-ChildItem Cert:\LocalMachine\My\<Thumbprint> -EA SilentlyContinue}

abschießen. In der rechten Spalte siehst Du dann die Namen der Server, die das Zertifikat haben  

 

[NorbertFe 2.045]

vor 1 Minute schrieb cj_berlin:

FQDNs in den SANs

Bekommst du auch so oft die Frage, warum da keine IP Adressen drin stehen bei "privaten Zertifikaten"? ;)

[cj_berlin 1.323]

Die meisten, die mich kennen, trauen sich nicht, die Frage zu stellen.

[daabm 1.356]

 

[mzaplata 0]

Erst einmal danke für eure Rückmeldungen:

Am liebsten würde ich gerne eine Möglichkeit finden, nicht jeden Server ein Script ausführen zu wollen, sondern dass das mir ausgibt, auf welchen Servern das eine Zertifikat ist. Zertifikatsname ist bekannt.

bearbeitet 6. Dezember 2023 von mzaplata

[tesso 375]

Das wird nicht gehen. 

 

Du willst die einzelnen Server nicht abfragen, hättest aber gerne Information über Inhalte die nur auf den Servern stehen. 

Finde den Fehler.

 

 

[mzaplata 0]

Vllt. hab ich mich falsch ausgedrückt. Ich wollte bloss nicht ein Script auf den Server einzeln ausführen.

 

Das das Script oder vllt ein Tool alle Server abfragen muss ist mir schon klar.

[cj_berlin 1.323]

Die Lösung steht oben.

[tesso 375]

vor 16 Stunden schrieb cj_berlin:

In der realen Welt, wenn Du den SHA-1 Thumbprinmt des Zertifikats hast, kannst Du 

 Invoke-Command -ComputerName @("SERVER01","SERVER02") -ScriptBlock {Get-ChildItem Cert:\LocalMachine\My\<Thumbprint> -EA SilentlyContinue}

abschießen. In der rechten Spalte siehst Du dann die Namen der Server, die das Zertifikat haben  

 

Dann hast du schon eine Antwort bekommen. 

[mzaplata 0]

Danke cj_berlin..

leider hab ich den SHA-1 Thumbprint nicht. Nur den Namen.

[tesso 375]

Dann hole alle jeweils alle Zertifikate und vergleiche den Namen. 

[testperson 1.680]

Hi,

 

hier findest du noch Ansätze: about Certificate Provider - PowerShell | Microsoft Learn

Das sollte dann in deine Richtung gehen:

$getChildItemSplat = @{
    Path = 'cert:\*'
    Recurse = $true
    DnsName = "*<Hier der DNS Name>*"
}
Get-ChildItem @getChildItemSplat

# Alternativ nur den eigenen Zertifikatsspeicher durchsuchen
      
$getChildItemSplat = @{
    Path = 'Cert:\LocalMachine\My'
    DnsName = "*<Hier der DNS Name>*"
}
Get-ChildItem @getChildItemSplat

 

Du musst da natürlich noch den "Invoke-Command"-Part aus @cj_berlins Antwort "drumrumbauen".

 

Gruß

Jan

[cj_berlin 1.323]

vor 12 Minuten schrieb mzaplata:

leider hab ich den SHA-1 Thumbprint nicht. Nur den Namen.

Dann geh auf einen Server, wo Du *weisst*, dass das Cert dort installiert ist (gerne per obigem Code-Snippet, aber ohne den Thumbprint und den Backslash davor), und hol Dir den Thumbprint