4
Eigenes Zertifikat (p12- oder pfx-Datei) automatisch verteilen
Hallo,
ich habe ein Zertifikat welches erstmal für mehrere User gültig ist und ich möchte es automatisch in unserer Domäne verteilen.
Per GPO schaffe ich es lediglich die 'vertrauenswürdige Stammzertifizierungsstelle' zu verteilen welche selfSigned ist und die Benutzerzertifikate signiert hat.
Was ich nun machen möchte ist: die Benutzerzertifikate automatisch zu verteilen. Da ich ein 'Wildcard'-Benutzerzertifikat habe, verteile ich also nur diese eine Datei (soll nur vorübergehend sein). Landen soll sie im Zertifikatsspeicher des Benutzers und zwar im Ordner 'Eigene Zertifikate'.
Ich habe es per GPO versucht und dort schaffe ich es FAST: Das Zertifikat lander unter 'Vertrauenswürdige Personen'. Das ist aber der falsche Speicherort da es eben in den 'Eigene Zertifikate' landen sollte. Leider ist in der Gruppenrichtlinienverwaltung die Ordner-Auswahl ausgegraut und ich kann kein anderen Ordner auswählen.
Ich würde es natürlich am liebsten per GPO lösen. Über eine Batch die irgendwie per GPO ausgeführt werden soll, wäre es auch ok (während der Anmeldung geht nicht da die meisten Benutzer bereits angemeldet sind und sich dann per VPN mit der Domäne verbinden).
So, ein wenig recherchiert und ich bekomme widersprüchliche Informationen aber der Grundtenor ist: nicht möglich per GPO. Eventuell möglich per Script.
So, bevor ich mich in irgendwas rein reite frage ich lieber die Profis:
1. Kann ich das Zertifikat in Form von P12-Datei und Passwort doch mit GPO verteilen (es hat ja geklappt jedoch in den falschen Ordner)?
2. Wenn Punkt 1 nicht funktioniert: Kann ich das, und wenn ja wie mache ich das per Script? Danach zu klären ist an welcher Stelle mache ich das? Per GPO ein einmaligen Task-Schedule-Auftrag erstellen oder ähnlich (stelle ich mir mal so vor)?
Übrigens: ich habe gelesen das eine P12-Datei eigentlich das absolut gleiceh dateiformat wie eine PFX-Datei hat und man diese lediglich umbenennen zu hat. Stimmt das?
Ich bedanke mich schon im voraus vielmals für eure Mühe. Auch wenn es nur das Lesen meines Posts ist! Danke!
ich habe ein Zertifikat welches erstmal für mehrere User gültig ist und ich möchte es automatisch in unserer Domäne verteilen.
Per GPO schaffe ich es lediglich die 'vertrauenswürdige Stammzertifizierungsstelle' zu verteilen welche selfSigned ist und die Benutzerzertifikate signiert hat.
Was ich nun machen möchte ist: die Benutzerzertifikate automatisch zu verteilen. Da ich ein 'Wildcard'-Benutzerzertifikat habe, verteile ich also nur diese eine Datei (soll nur vorübergehend sein). Landen soll sie im Zertifikatsspeicher des Benutzers und zwar im Ordner 'Eigene Zertifikate'.
Ich habe es per GPO versucht und dort schaffe ich es FAST: Das Zertifikat lander unter 'Vertrauenswürdige Personen'. Das ist aber der falsche Speicherort da es eben in den 'Eigene Zertifikate' landen sollte. Leider ist in der Gruppenrichtlinienverwaltung die Ordner-Auswahl ausgegraut und ich kann kein anderen Ordner auswählen.
Ich würde es natürlich am liebsten per GPO lösen. Über eine Batch die irgendwie per GPO ausgeführt werden soll, wäre es auch ok (während der Anmeldung geht nicht da die meisten Benutzer bereits angemeldet sind und sich dann per VPN mit der Domäne verbinden).
So, ein wenig recherchiert und ich bekomme widersprüchliche Informationen aber der Grundtenor ist: nicht möglich per GPO. Eventuell möglich per Script.
So, bevor ich mich in irgendwas rein reite frage ich lieber die Profis:
1. Kann ich das Zertifikat in Form von P12-Datei und Passwort doch mit GPO verteilen (es hat ja geklappt jedoch in den falschen Ordner)?
2. Wenn Punkt 1 nicht funktioniert: Kann ich das, und wenn ja wie mache ich das per Script? Danach zu klären ist an welcher Stelle mache ich das? Per GPO ein einmaligen Task-Schedule-Auftrag erstellen oder ähnlich (stelle ich mir mal so vor)?
Übrigens: ich habe gelesen das eine P12-Datei eigentlich das absolut gleiceh dateiformat wie eine PFX-Datei hat und man diese lediglich umbenennen zu hat. Stimmt das?
Ich bedanke mich schon im voraus vielmals für eure Mühe. Auch wenn es nur das Lesen meines Posts ist! Danke!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3166563091
Url: https://administrator.de/contentid/3166563091
Printed on: April 19, 2024 at 04:04 o'clock
4 Comments
Latest comment
Hi
für was soll das Zertifikat denn sein?
Ein übliches User-Zertifikat kann nicht Wildcard sein sondern muss für diesen einen User sein und nur der hat dann auch den Private key. Macht ja sonst auch keinen Sinn.
Und "verteilen" tut man das dann indem man per GPO den Usern sagt das sie sich automatisch ein Zertifikat von der PKI ziehen sollen, also von einem entsprechenden Template auf das die User das Recht haben dieses automatisch zu requesten.
für was soll das Zertifikat denn sein?
Ein übliches User-Zertifikat kann nicht Wildcard sein sondern muss für diesen einen User sein und nur der hat dann auch den Private key. Macht ja sonst auch keinen Sinn.
Und "verteilen" tut man das dann indem man per GPO den Usern sagt das sie sich automatisch ein Zertifikat von der PKI ziehen sollen, also von einem entsprechenden Template auf das die User das Recht haben dieses automatisch zu requesten.
- frag den Lieferanten an, wie die es machen.
- mit signiertem Powershell Script
- manuell bei jedem Benutzer
ist wohl ein Zertifikat für die Gesundheitsbranche…
Moin,
Die Kruks ist, dass du für das Importieren ein Passwort brauchst. Diese im Klartest im Skript zu speichern, ist heutzutage fahrlässig. Daher bleibt aus meiner Sicht nur PowerShell oder ein UEM (Softwareverteilung).
Gruß,
Dani
So, ein wenig recherchiert und ich bekomme widersprüchliche Informationen aber der Grundtenor ist: nicht möglich per GPO.
richtig.Eventuell möglich per Script.
richtig.Die Kruks ist, dass du für das Importieren ein Passwort brauchst. Diese im Klartest im Skript zu speichern, ist heutzutage fahrlässig. Daher bleibt aus meiner Sicht nur PowerShell oder ein UEM (Softwareverteilung).
Gruß,
Dani
@Dani
Ich muss lediglich schnellstmöglich die Versicherungskriterien erfüllen: 2FA. Also muss die FW zur CA werden und die Dinger müssen verteilt werden. Danach kümmere ich mich in Ruhe um meine eigene PKI und dann wird auch alles richtig gemacht. Ich denke das schaffe ich noch im Juli einzurichten und somit ist es, meiner Meinung nach, nicht soo schlimm wenn ein paar Tage das Passwort als Klartext in einem Script stehen würde...
Wir haben ein Software-Verteilungsserver und vielleicht benutze ich diesen um die Zertifikate zu verteilen...
Danke für den Hinweis!
Ich muss lediglich schnellstmöglich die Versicherungskriterien erfüllen: 2FA. Also muss die FW zur CA werden und die Dinger müssen verteilt werden. Danach kümmere ich mich in Ruhe um meine eigene PKI und dann wird auch alles richtig gemacht. Ich denke das schaffe ich noch im Juli einzurichten und somit ist es, meiner Meinung nach, nicht soo schlimm wenn ein paar Tage das Passwort als Klartext in einem Script stehen würde...
Wir haben ein Software-Verteilungsserver und vielleicht benutze ich diesen um die Zertifikate zu verteilen...
Danke für den Hinweis!
