How to Capture and Decrypt TLS Traffic Using Microsoft Tools

Andres Bohren

2012-03-01

Hallo zusammen,

Beim Surfen bin ich auf einen coolen Artikel gestossen, welcher aufzeigt wie man TLS (SSL) verschlüsselten Traffic mit Microsoft Tools aufzeichnet und entschlüsselt.

http://blogs.technet.com/b/nexthop/archive/2012/02/15/how-to-decrypt-lync-2010-tls-traffic-using-microsoft-network-monitor.aspx

Vorgehen

Traffic auf dem Server mit Network Monitor aufzeichnen und als Capture (*.cap) abspeichern
Zertifikat des Servers mit Key in PFX Datei exportieren
Network Monitor NM Decrypt auf Analyse Workstation installieren
Capture mit NM Decrypt entschlüsseln

Benötigte Tools

Traffic auf dem Server aufzeichnen

Den Network Traffic mit Network Monitor auf dem Server aufzeichnen und als Caputre File *.cap abspeichern

Zertifikat auf dem Server exportieren

Das Zertifikat mit welchem der Verkehr verschlüsselt wurde auf dem Server inkl. Private Key exportieren

NmDecrypt auf der Analyse Workstation installieren

Nebst dem Network Monitor muss auf der Analyse Workstation auch NmDecrypt installiert werden

Capture öffnen und mit NmDecrypt analysieren

Nun kann das Capture File geöffnet werden

Nun NmDecrypt unter Menu --> Expoerts --> NmDecrypt --> Run Expert starten

Nun muss das Zertifikat ausgewählt werden und das Passwort sowie die Dateinamen für das Entschlüsselte .cap File und das Log müssen angegeben werden

Hat bei mir leider nicht funktioniert - schade :(

Grüsse

Andres Bohren

Andres works as a Senior Microsoft Cloud Engineer/Architect for midsize to large Enterprises at isolutions in Switzerland. He has a special focus on M365 including Identity, Messaging, Communication, Security and PowerShell but also some Azure Technologies. He is Co-Organisator of the Microsoft 365 Community Schweiz Meetup group, Co-Organizator of Swiss PowerShell User Group and was Speaker at several other Meetups or Conferences. He likes good Food, his Bike and nice Dive spots all over the World.