mayho33
Goto Top

PFX-Zertifikat Read-Rechte für Gruppe Benutzer in Powershell

Hi @ All

Ich hänge mit folgendem Problem und bitte um eure Hilfe!

Zur Automatisierung einer Installation ist es notwenig auf ein Zertifikat im Store "Local Computer\LocalMachine\My" Lese-Rechte für die Gruppe "Benutzer" (Lokal) zu vergeben (siehe Bild):

cert leserechte

Da funktioniert natürlich wenn man es manuell macht, jedoch nicht automatisiert per Script.

Zur Umsetzung habe ich das Versucht:
https://gist.github.com/milesgratz/38804dfc336df64191f958004953e9b6
https://www.itnator.net/zertifikat-berechtigungen-aendern-mit-powershell ...

hier mein Script:
$FPrint = @('Add Fingerprint here')  
    
    $SID = New-Object System.Security.Principal.SecurityIdentifier "S-1-5-32-545"  
    foreach ($thumbprint in $FPrint)
    {
        $Cert = Get-ChildItem Cert:\LocalMachine\My | Where-Object { $_.Thumbprint -eq $thumbprint } 
        $privKey = $Cert.PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName
        $keyPath = "$($env:ProgramData)\Microsoft\Crypto\RSA\MachineKeys\"  
        $privKeyPath = (Get-Item "$keyPath\$privKey")  

        $Acl = Get-Acl $privKeyPath
        $Ar = New-Object System.Security.AccessControl.FileSystemAccessRule($SID, "Read", "Allow")  
        $Acl.SetAccessRule($Ar)
        Set-Acl $privKeyPath.FullName $Acl

        $privKey = ([System.Security.Cryptography.X509Certificates.RSACertificateExtensions]::GetRSAPrivateKey($Cert)).key.UniqueName
        $keyPath = "$($env:ProgramData)\Microsoft\Crypto\Keys\"  
        $privKeyPath = (Get-Item "$keyPath\$privKey")  

        $Acl = Get-Acl $privKeyPath
        $Ar = New-Object System.Security.AccessControl.FileSystemAccessRule($SID, "Read", "Allow")  
        $Acl.SetAccessRule($Ar)
        Set-Acl $privKeyPath.FullName $Acl
    }

Beim Auslesen des PrivateKey stelle ich fest, dass mir zwar angezeigt wird, dass ein ProvateKey vorhanden ist, er wird aber nicht angezeigt / ausgegeben.

pkey

Kann mir jemand einen Tipp geben wie ich das umsetzen kann oder wo mein Fehler liegt?

Danke für die Unterstützung!

Mayho

Content-ID: 665526

Url: https://administrator.de/contentid/665526

Printed on: October 8, 2024 at 00:10 o'clock

TK1987
Solution TK1987 Apr 08, 2021 updated at 15:25:13 (UTC)
Goto Top
Moin,

AFAIK unterstützt die X509Certificate2-Klasse nur CSP. Wenn der Schlüssel im KSP gespeichert ist, ist die PrivateKey-Eigenschaft daher $Null.

Führe mal folgendes aus:
certutil -store my $thumbprint
Taucht da
 Anbieter = Microsoft Software Key Storage Provider
auf?

Gruß Thomas
mayho33
mayho33 Apr 09, 2021 updated at 08:09:37 (UTC)
Goto Top
Perfekt! Danke!

Funktioniert einwandfrei! leider bekomme ich da die Anzeige:

cerftutil

Hast du dazu noch einen Tipp?

Grüße Mayho!
148121
Solution 148121 Apr 09, 2021 updated at 08:22:01 (UTC)
Goto Top
Zitat von @mayho33:

Perfekt! Danke!

Funktioniert einwandfrei! leider bekomme ich da die Anzeige:

cerftutil

Hast du dazu noch einen Tipp?

Grüße Mayho!
Wenn man beim Import des Schlüssels in der Policy nicht angegeben hat das man den privaten Schlüssel auch wieder exportieren darf dann lässt sich dieser nicht nachträglich exportieren. Dann muss man diesen erneut importieren diesmal aber mit der Option das dieser auch wieder exportiert werden kann.

Gruß w.
mayho33
mayho33 Apr 09, 2021, updated at Apr 15, 2021 at 21:57:38 (UTC)
Goto Top
Wenn man beim Import des Schlüssels in der Policy nicht angegeben hat das man den privaten Schlüssel auch wieder exportieren darf dann lässt sich dieser nicht nachträglich exportieren. Dann muss man diesen erneut importieren diesmal aber mit der Option das dieser auch wieder exportiert werden kann.

Das kann ich leider nicht beeinflussen. Aber ich habe eine andere Lösung gefunden:

  • Mit Certutil den unique Key auslesen
  • mit ICacls auf das File berechtigen

Probiere ich die nächsten Stunden aus.

Grüße!

Edit:

Passt! Certutil und Icacls machen das face-wink