Certificate Authority monitoring voor Windows CA?

Mijn vraag
Ik ben opzoek naar een tool voor het monitoren van Active Directory Certificate Services .
Momenteel draaien we op ons werk meerdere MS CA's (meerdere klanten en domeinen) welke allemaal certificaten uit geven voor specifieke doelen.

Sommige zijn web certificaten maar een groot deel is bijvoorbeeld machine certificaten voor de communicatie tussen de client en SCCM.

We gebruiken VDI waarvan het merendeel floating is maar een deel ook Dedicated.
De floating krijgen geen certificaat wanneer ze uitgerold worden. (zou anders 1000+ certificaten in een week tijd betekenen)
maar de dedicated wel.

Nu gaan die machine certificaten via een auto enrollment dus die zijn niet van belang en ik zoek dan ook een tool waar ik standaard kan filteren dat de query aan een specifieke template moet voldoen.
en dat we op die query een alert krijgen 60 dagen voor verlopen, 30 dagen en 10 dagen voor verlopen.

Relevante software en hardware die ik gebruik
Microsoft servers 2016
Active Directory Certificate Services
en momenteel CertExpAlerter.

Helaas kan deze laatste geen filters toepassen op basis van templates.
Filteren op commen name zou in theorie nog mogelijk zijn maar momenteel is nog niet alles gestandaardiseerd waardoor nu filters erg lastig zijn.


Wat ik al gevonden of geprobeerd heb
CertExpAlerter al gevonden en in gebruik.
Omdat we momenteel bezig zijn met de overstap naar nieuwe CA's nog niet meteen een issue.
maar over een maand of 2 gaan alle oude CA's uit en komen de clients er dus ook bij.

Na een paar jaar kom je dan al snel op 1000000+ certs die uitgedeeld zijn en krijg je dus ook veel meldingen van certificaten die via auto enrollment gepushed worden.

Iemand een idee kwa tooling om dit goed te kunnen realiseren?

Ben vast niet de enigste met deze uitdaging?

Question Mark schreef op donderdag 28 oktober 2021 @ 14:50:
Waarom monitor je vanuit de CA, en controleer je niet de cert stores op de daadwerkelijke clients op te verlopen certificaten? Dan weet je nl. zeker dat je alleen maar certs controleerd die ook in gebruik zijn, zonder raar te hoeven filteren.

Daar is zelfs een SCOM management pack voor:

https://blog.topqore.com/...monitoring-pack-for-scom/

Issue hier is dat je dan een SCOM moet draaien en agents moet hebben.
een groot deel is in ons geval Linux appliances of hardware boxen waar ze op draaien.
hierop een agent installeren is dan geen optie.
Daarom is het logischer om te kijken vanaf de CA zelf en niet vanaf de andere kant.

Ja je hebt dan de kans dat je alarmen krijgt van producten die mogelijk niet meer leven.
maar hierdoor forceer ik ook weer mensen om alles netjes op te ruimen.

Opzich zou je dan de URL's als endpoint mogelijk kunnen toevoegen.
maar gezien het aantal wijzigingen die soms plaats vinden waar wij als beheerders soms niet eens van op de hoogte zijn is dat ook niet echt een handige oplossing denk ik.

Xelefim schreef op donderdag 28 oktober 2021 @ 22:40:
heb je je al verdiept in powershell en gekeken wat je allemaal voor info kan uittrekken mbt de certs? mogelijk kun je zelf iets in elkaar steken

Daar ben ik nu weer mee bezig.

Heb een tijd powershell scripts laten draaien hiervoor.
Alleen op een bepaald moment liep ik tegen het issue aan dat er na een update van powershell bepaalde functies anders werkten dan voorheen.

Mega vervellend.
moet wel zeggen dat dit al een jaar of 2 terug is.
dus misschien is het nu beter.


Maar is zeker een optie om opnieuw te onderzoeken.

Question Mark schreef op vrijdag 29 oktober 2021 @ 08:37:
[...]

Dat stond niet in je topicstart, vandaar dat ik dit als optie noemde. Zie onderstaande url voor een voorbeeld powershell script hoe eea in elk geval voor de Windows machines te controleren is.

Use PowerShell to Find Certificates that are About to Expire

Klopt.
Was ik totaal vergeten te melden ook

Question Mark schreef op vrijdag 29 oktober 2021 @ 08:37:

Ik heb verder wat moeite om je omgeving te begrijpen. Waarom en hoe wordt SCCM nu exact ingezet? Voor het updaten van VDI's zou ik dat eerder via het golden image doen. Appliances kunnen geen agents op meldt je, maar kennelijk staat daar wel een sccm-agent op?

In principe wordt er ook in de basis een golden image gemaakt.
SCCM wordt gebruikt om bijvoorbeeld zwaardere applicaties die een beperkte zet aan gebruikers moet hebben aan te bieden.
In dit geval zijn het dan ook dedicated machines welke langere tijd leven.
dit zijn er rond de 150 momenteel.

de rest is floating 2000 ongeveer

De configs zijn gelijk verder kwa vm's dus ook hun GPO's zijn het zelfde.
Hierdoor zitten alle machines in principe in de zelfde OU.

tevens is doormiddel van de SCCM agent het mogelijk om software metering toe te passen om te zien of applicaties nog steeds gebruikt worden.
en om te checken of ze niet veel te veel licenties hebben.

Nu vervalt mogelijk de laatste optie met een nieuwe workspace manager oplossing die dit ook voor ons kan bijhouden/monitoren.

en nee, op appliances staan geen sccm agents op.
Maar in veel gevallen wel een certificaat.
Of het is een webserver achtige applicatie of puur een managment interface voor bijvoorbeeld firewalls of iets dergelijks.

Question Mark schreef op vrijdag 29 oktober 2021 @ 08:37:
Is het geen optie om in elk (klant)domein een SCCM server neer te zetten, zodat je via Kerberos kunt authenticeren en af kunt stappen van cert-based authenticatie?

In principe staat er in elk klant domein een SCCM server.
deze wordt vanuit een CAS beheert.
Alleen vanuit security beleid is vast gesteld dat het via cert based de communicatie tussen de SCCM agent en server moet lopen en niet via kerberos.
is dat beleid correct? tja dat is wel vaker een discussie punt hier.
maar daar zal denk ik op korte termijn geen oplossing zijn.

Question Mark schreef op vrijdag 29 oktober 2021 @ 08:37:
[...]
Ik heb een beetje het idee dat je op zoek bent naar een oplossing voor een probleem die misschien beter op een ander niveau getackeld kan worden. Maar de info om dat goed te kunnen beoordelen ontbreekt.

Op welk niveau wil je dit tackelen dan?
Als het nou 1 of 2 klanten waren met maar een beperkte set aan certificaten dan was dit veel makkelijker bij te houden.

Alleen momenteel is het voor 8 domeinen en 6 klanten (2 domeinen zijn van ons zelf) en daar komen er telkens meer bij.