Eigenes Zertifikat (p12- oder pfx-Datei) automatisch verteilen
Hallo,
ich habe ein Zertifikat welches erstmal für mehrere User gültig ist und ich möchte es automatisch in unserer Domäne verteilen.
Per GPO schaffe ich es lediglich die 'vertrauenswürdige Stammzertifizierungsstelle' zu verteilen welche selfSigned ist und die Benutzerzertifikate signiert hat.
Was ich nun machen möchte ist: die Benutzerzertifikate automatisch zu verteilen. Da ich ein 'Wildcard'-Benutzerzertifikat habe, verteile ich also nur diese eine Datei (soll nur vorübergehend sein). Landen soll sie im Zertifikatsspeicher des Benutzers und zwar im Ordner 'Eigene Zertifikate'.
Ich habe es per GPO versucht und dort schaffe ich es FAST: Das Zertifikat lander unter 'Vertrauenswürdige Personen'. Das ist aber der falsche Speicherort da es eben in den 'Eigene Zertifikate' landen sollte. Leider ist in der Gruppenrichtlinienverwaltung die Ordner-Auswahl ausgegraut und ich kann kein anderen Ordner auswählen.
Ich würde es natürlich am liebsten per GPO lösen. Über eine Batch die irgendwie per GPO ausgeführt werden soll, wäre es auch ok (während der Anmeldung geht nicht da die meisten Benutzer bereits angemeldet sind und sich dann per VPN mit der Domäne verbinden).
So, ein wenig recherchiert und ich bekomme widersprüchliche Informationen aber der Grundtenor ist: nicht möglich per GPO. Eventuell möglich per Script.
So, bevor ich mich in irgendwas rein reite frage ich lieber die Profis:
1. Kann ich das Zertifikat in Form von P12-Datei und Passwort doch mit GPO verteilen (es hat ja geklappt jedoch in den falschen Ordner)?
2. Wenn Punkt 1 nicht funktioniert: Kann ich das, und wenn ja wie mache ich das per Script? Danach zu klären ist an welcher Stelle mache ich das? Per GPO ein einmaligen Task-Schedule-Auftrag erstellen oder ähnlich (stelle ich mir mal so vor)?
Übrigens: ich habe gelesen das eine P12-Datei eigentlich das absolut gleiceh dateiformat wie eine PFX-Datei hat und man diese lediglich umbenennen zu hat. Stimmt das?
Ich bedanke mich schon im voraus vielmals für eure Mühe. Auch wenn es nur das Lesen meines Posts ist! Danke!
ich habe ein Zertifikat welches erstmal für mehrere User gültig ist und ich möchte es automatisch in unserer Domäne verteilen.
Per GPO schaffe ich es lediglich die 'vertrauenswürdige Stammzertifizierungsstelle' zu verteilen welche selfSigned ist und die Benutzerzertifikate signiert hat.
Was ich nun machen möchte ist: die Benutzerzertifikate automatisch zu verteilen. Da ich ein 'Wildcard'-Benutzerzertifikat habe, verteile ich also nur diese eine Datei (soll nur vorübergehend sein). Landen soll sie im Zertifikatsspeicher des Benutzers und zwar im Ordner 'Eigene Zertifikate'.
Ich habe es per GPO versucht und dort schaffe ich es FAST: Das Zertifikat lander unter 'Vertrauenswürdige Personen'. Das ist aber der falsche Speicherort da es eben in den 'Eigene Zertifikate' landen sollte. Leider ist in der Gruppenrichtlinienverwaltung die Ordner-Auswahl ausgegraut und ich kann kein anderen Ordner auswählen.
Ich würde es natürlich am liebsten per GPO lösen. Über eine Batch die irgendwie per GPO ausgeführt werden soll, wäre es auch ok (während der Anmeldung geht nicht da die meisten Benutzer bereits angemeldet sind und sich dann per VPN mit der Domäne verbinden).
So, ein wenig recherchiert und ich bekomme widersprüchliche Informationen aber der Grundtenor ist: nicht möglich per GPO. Eventuell möglich per Script.
So, bevor ich mich in irgendwas rein reite frage ich lieber die Profis:
1. Kann ich das Zertifikat in Form von P12-Datei und Passwort doch mit GPO verteilen (es hat ja geklappt jedoch in den falschen Ordner)?
2. Wenn Punkt 1 nicht funktioniert: Kann ich das, und wenn ja wie mache ich das per Script? Danach zu klären ist an welcher Stelle mache ich das? Per GPO ein einmaligen Task-Schedule-Auftrag erstellen oder ähnlich (stelle ich mir mal so vor)?
Übrigens: ich habe gelesen das eine P12-Datei eigentlich das absolut gleiceh dateiformat wie eine PFX-Datei hat und man diese lediglich umbenennen zu hat. Stimmt das?
Ich bedanke mich schon im voraus vielmals für eure Mühe. Auch wenn es nur das Lesen meines Posts ist! Danke!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3166563091
Url: https://administrator.de/forum/eigenes-zertifikat-p12-oder-pfx-datei-automatisch-verteilen-3166563091.html
Ausgedruckt am: 22.12.2024 um 12:12 Uhr
4 Kommentare
Neuester Kommentar
Hi
für was soll das Zertifikat denn sein?
Ein übliches User-Zertifikat kann nicht Wildcard sein sondern muss für diesen einen User sein und nur der hat dann auch den Private key. Macht ja sonst auch keinen Sinn.
Und "verteilen" tut man das dann indem man per GPO den Usern sagt das sie sich automatisch ein Zertifikat von der PKI ziehen sollen, also von einem entsprechenden Template auf das die User das Recht haben dieses automatisch zu requesten.
für was soll das Zertifikat denn sein?
Ein übliches User-Zertifikat kann nicht Wildcard sein sondern muss für diesen einen User sein und nur der hat dann auch den Private key. Macht ja sonst auch keinen Sinn.
Und "verteilen" tut man das dann indem man per GPO den Usern sagt das sie sich automatisch ein Zertifikat von der PKI ziehen sollen, also von einem entsprechenden Template auf das die User das Recht haben dieses automatisch zu requesten.
Moin,
Die Kruks ist, dass du für das Importieren ein Passwort brauchst. Diese im Klartest im Skript zu speichern, ist heutzutage fahrlässig. Daher bleibt aus meiner Sicht nur PowerShell oder ein UEM (Softwareverteilung).
Gruß,
Dani
So, ein wenig recherchiert und ich bekomme widersprüchliche Informationen aber der Grundtenor ist: nicht möglich per GPO.
richtig.Eventuell möglich per Script.
richtig.Die Kruks ist, dass du für das Importieren ein Passwort brauchst. Diese im Klartest im Skript zu speichern, ist heutzutage fahrlässig. Daher bleibt aus meiner Sicht nur PowerShell oder ein UEM (Softwareverteilung).
Gruß,
Dani