Статус: Активный участник
Группы: Участники
Зарегистрирован: 02.12.2009(UTC) Сообщений: 33  Откуда: Москва Поблагодарили: 1 раз в 1 постах
|
Добрый день!
Помогите пожалуйста разобраться с CERTUTIL:
Стоит задача вытащить все сертификаты из базы ЦС в текстовый файл. Выполняю команду: certutil -restrict Disposition==20 -view > "c:\dump\dump.txt" всё получается.
Вторая задача вытащить только сертификаты, используемые для защищенной почты. Выполняю certutil -restrict "CertificateTemplate==ADUser, Disposition==20" -view > "c:\dump\dump.txt" не получается (пустой txt) или certutil -restrict "CertificateTemplate==1.3.6.1.5.5.7.3.4, Disposition==20" -view > "c:\dump\dump.txt" тоже не получается.
Где ошибка?
Спасибо.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,733 Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах
|
В дампе certutil -restrict Disposition==20 -view есть сертификаты, у которых CertificateTemplate==ADUser или CertificateTemplate==1.3.6.1.5.5.7.3.4? |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 02.12.2009(UTC) Сообщений: 33 Откуда: Москва Поблагодарили: 1 раз в 1 постах
|
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,733 Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах
|
И как они в дампе выглядят, хотя бы один пример? |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 02.12.2009(UTC) Сообщений: 33 Откуда: Москва Поблагодарили: 1 раз в 1 постах
|
... Certificate Extensions: 2.5.29.15: Flags = 20001(Critical, Origin=Policy), Length = 4 Key Usage Digital Signature, Non-Repudiation, Key Encipherment, Data Encipherment (f0) 1.2.840.113549.1.9.15: Flags = 20000(Origin=Policy), Length = c SMIME Capabilities [1]SMIME Capability Object ID=1.2.643.2.2.21 2.5.29.37: Flags = 20000(Origin=Policy), Length = 1f Enhanced Key Usage Пользователь Центра Регистрации, HTTP, TLS клиент (1.2.643.2.2.34.6) Client Authentication (1.3.6.1.5.5.7.3.2) Secure Email (1.3.6.1.5.5.7.3.4) 1.3.6.1.4.1.311.20.2: Flags = 20000(Origin=Policy), Length = 8 Certificate Template Name ADUser ... Это из дампа выдержка. Или надо сам сертификат показать??? Отредактировано пользователем 11 августа 2010 г. 20:20:41(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,733 Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах
|
По расширениям фильтр можно установить, только если указать бинарное значение, что в случае с EKU представляется весьма нетривиальной задачей. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 02.12.2009(UTC) Сообщений: 33 Откуда: Москва Поблагодарили: 1 раз в 1 постах
|
Kirill Sobolev написал:По расширениям фильтр можно установить, только если указать бинарное значение, что в случае с EKU представляется весьма нетривиальной задачей. А может быть есть какой-то другой способ решения задачи? Посоветуйте куда копать? Да и еще... А что бы значил вот этот пример с сайта technet.microsoft.com: Чтобы отобразить числовые коды запроса сертификатов на основе шаблона идентификатора объекта 1.2.3.4.5.5.6.6.6.6.5.6, введите:
certutil -view -restrict "Certificate Template=1.2.3.4.5.5.6.6.6.6.5.6" -out requestidОтредактировано пользователем 12 августа 2010 г. 14:34:43(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,733 Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах
|
Цитата:А может быть есть какой-то другой способ решения задачи? Посоветуйте куда копать? Написать собственную утилитку, которая бы шерстила БД ЦС на предмет наличия сертификатов с заданными условиями либо анализировала вывод certutil. Цитата:А что бы значил вот этот пример с сайта technet.microsoft.com:
Чтобы отобразить числовые коды запроса сертификатов на основе шаблона идентификатора объекта 1.2.3.4.5.5.6.6.6.6.5.6, введите:
certutil -view -restrict "Certificate Template=1.2.3.4.5.5.6.6.6.6.5.6" -out requestid Под числовым кодом, видимо, подразумевается идентификатор запроса. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 02.12.2009(UTC) Сообщений: 33 Откуда: Москва Поблагодарили: 1 раз в 1 постах
|
"Под числовым кодом, видимо, подразумевается идентификатор запроса."
Это я понял... Идентификатор запроса выводится в результате, но обратите внимания у них идентификатора объекта 1.2.3.4.5.5.6.6.6.6.5.6 вводится не в бинаре. Или я не понимаю чего?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,733 Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах
|
Если сертификат выдан по шаблону (заполнено поле Certificate Template в БД ЦС - это видно в полном дампе сертификата), то задать фильр по этому шаблону можно не только именем, но и с помощью OID. |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
