Как узнать, откуда пришел запрос на сертификат

Когда я спрашиваю сотрудника, почему они запросили сертификат, они не помнят, почему и для какой системы он был.

Это звучит правильно. Сертификаты EFS (и многие другие) обычно выдаются и обновляются автоматически. Можно отключить EFS в политике или ограничить область выдачи определенной группой безопасности в шаблоне.

Я ищу способ увидеть все запрошенные сертификаты и то, с какими машинами они связаны.

Сертификаты EFS обычно выдаются пользователям и неявно не ограничиваются конкретным компьютером. Существуют также другие типы сертификатов EFS, например, агенты восстановления данных (DRA).

Я попытался просмотреть базу данных с помощью certutil .

Сертификаты должны быть видны в управлении mmc. Возможно, CA / шаблон настроен так, чтобы не сохранять копию сертификата, но это не конфигурация по умолчанию.

Кто-нибудь знает, смогу ли я узнать, какие серверы / URL-адреса используют сертификаты в моем ЦС?

Из ЦС? Нет. Он может содержать некоторую информацию, например, тему, которая соответствует имени компьютера или имени пользователя. Также могут быть выданы сертификаты именам, которые не соответствуют имени компьютера или имени пользователя. Или сертификаты не могут быть сохранены в ЦС. Это вопрос, который задает каждый, кто использует сертификаты, в то или иное время, и универсального решения не существует. Сертификаты могут существовать в хранилище сертификатов компьютера Windows, хранилище сертификатов пользователя Windows, реестре, файле в файловой системе, используемой приложением, встроенном в приложение, такое как SQL-сервер, поэтому инвентаризация сертификатов не так проста, как вы бы считать. И даже если они найдены, это не значит, что они используются. И даже если они используются, вы все равно можете не знать, что их использует, без дальнейшего исследования.

Лучший подход - это уже иметь хорошую систему отслеживания. Следующим лучшим подходом является регулярное сканирование вашей сети на наличие используемых портов / сертификатов.