Egyre több helyen alkalmazzák, hogy a Wifi/VPN hitelesítés nem név/jelszó párossal (esetleg valamilyen MFA megoldással kombinálva) történik, hanem felhasználói tanúsítványokkal. Nagyon üdvözlendő! 🙂

Sok esetben viszont a “lifecycle” kezelése nincs átgondolva és megoldva. Azaz: a tanúsítványkiadás megy GPO-ból/Intune-ból, mint a karikacsapás, de hogyan kezeljük a visszavonást? Security szempontból mindenképpen érdemes a távozó dolgozó kiállított tanúsítványait visszavonni, nem csak az Active Directory accountját letiltani stb.

Az alábbi példában bemutatom, hogyan lehet a Certificate Authority felületéről és Powershellből célzottan tanúsítványt visszavonni. Fontos hangsúlyozni, hogy ez egy user decomission process része kell legyen!

Tanúsítvány visszavonása CA konzolból:

Jelentkezzünk be a CA szerverre és indítsuk el a Certificate Authority konzolt. Az Issued Certificate résznél találjuk az összes kiállított tanúsítványt (akár több ezer is lehet)

Az egyes felhasználó számára kiállított tanúsítványokat a View/Filter opcióval tudjuk leszűrni.

Állítsuk össze a szűrési feltételt:

Field: Issued Common Name

Operation: =

Value: a kívánt felhasználó AD-ben szereplő neve (pl. Kovács László)

Megkapjuk az összes, számára kiállított tanúsítványt:

Ezután a tanúsítványon jobb klikkel kiválaszthatjuk a Revoke Certificate opciót:

Megadhatjuk a Reason Code-ot:

Az egyes kódok jelentése:

• KeyCompromise. The private key that is associated with the certificate is compromised and is in the possession of an unauthorized individual—for example, if a portable computer is stolen or a smart card is lost.
• ■ CACompromise. The smart card or disk on which the CA’s private key is stored is compromised and is in the possession of an unauthorized individual. When a certificate manager revokes a CA’s certificate, all certificates issued by that CA are considered revoked.
• ■ AffiliationChanged. An individual is terminated or has resigned from an organization. It is not necessary to revoke a certificate when an individual changes departments unless your security policy requires that each departmental CA should issue certificates to the individuals in that department.
• ■ Superseded. A new certificate must be issued if a smart card fails or the legal name of a user has changed. The new certificate supersedes the previous certificate, which must be revoked.
• ■ CessationOfOperation. If your organization decommissions a CA, use this revocation code to revoke the CA’s certificate. Do not revoke the certificate if the CA publishes CRLs for the currently issued certificates but does not issue new certificates.
• ■ CertificateHold. A temporary revocation that indicates that a CA will not vouch for a certificate at a specific time. After a certificate is revoked by using CertificateHold, you can later unrevoke the certificate.

Tanúsítvány visszavonása Powershell segítségével

Ha egy felhasználónak több kiállított tanúsítványa van, a fenti konzolos megoldás fárasztó lehet. Itt tudjuk segítségül hívni a Powershellt.

Elérhető egy powershell csomag, amivel különböző PKI feladatokat tudunk elvégezni (https://www.powershellgallery.com/packages/PSPKI/3.7.2)

A telepítése egyszerű, a CA szerverre telepítsük fel admin powershellből:

Install-Module -Name PSPKI

Importáljuk be:

Import-Module PSPKI

Futtassuk le a lekérdezést, hogy pl. Kovács Lászlónak milyen kiadott tanúsítványai vannak:

Get-CertificationAuthority | Get-Issuedrequest -Filter “CommonName -eq Kovács László”

Ehhez már könnyen hozzá tudjuk fűzni a parancsot hogy vonja vissza a tanúsítványokat, “Certificate Hold” indoklással:

Get-CertificationAuthority | Get-Issuedrequest -Filter “CommonName -eq Kovács László” | Revoke-Certificate -Reason “CerfificateHold”

CRL publikálása

A tanúsítványok visszavonása után ne felejtsünk el új CRL-t publikálni:

(Megjegyzés: sok visszavont tanúsítvány esetén a CRL mérete túl nagy lehet, ami egyes szolgáltatásoknál gondot okoz (pl. időtúllépés a CRL letöltése során). Ezért érdemes figyelni rá, hogy időnként a már nem szükséges visszavont elemeket töröljük a Certificate Authority adatbázisából)