Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Zneplatnění certifikátů podle data jejich expirace
září 12
Zneplatnění certifikátů podle data jejich expirace

Windowsovská certifikační autorita (CA, Active Directory Certificate Services) uchovává všechny vydané certifikáty v jednom dloooouuuhatánském seznamu. GUIčko má bohužel trošku vadu, že v tom seznamu nejde moc dobře listovat a když těch certifikátů tam máte moc, tak je to děsně nepřehledné. Obvykle vám v něm zůstávají i certifikáty, kterým už stejně vypršela platnost. Můžete můžet zvážit jejich automatické zneplatnění. Mám na to svůj baťáček co jsem nedávno vyráběl pro jednoho zákazníka:

@ECHO OFF

REM  The date must be in the local format
SET expirationDate=15.7.2011
SET expiredlist=%temp%\pki-cert-expired.txt

CERTUTIL -view -restrict "notafter<=%expirationDate%, disposition = 20" -out "serial number" | 
findstr "Serial" > "%expiredlist%" FOR /F "tokens=3 delims= " %%j IN (%expiredlist%) DO ( CERTUTIL -revoke %%j )

Jak vidíte v poznámce, datum musíte zadávat v místním formátu, který máte nastaven v systému, jinak to nebude fungovat.

Comments

Re: Zneplatnění certifikátů podle data jejich expirace

some keywords in order to provide better googling results:

revoke all expired certificates in certification authority (AD CS). The script just finds all certificates whith expiration dates that are before today and revokes them automatically so that they do not occupy the Issued Certificates node in the CA database and go into the Revoked Certificates node instead.
ondass on 25.2.2014 16:38

Add Comment

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Type number two as digit *


Semhle vyplňte číslici dvě. Předchozí antispemové pole nefunguje úplně dokonale, zdá se, že jsou i spamery, které pochopily, že je občas potřeba vyplnit autora :-)

Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments