Zertifikate auf Remoter Arbeitsstation mittels Powershell installieren

Hallo Community

Ich habe folgende Herausforderung. Ich habe selbstsignierte Zertifikate, welche ich über Powershell auf die Arbeitsstation installieren möchte. Die Installation von selbstsignierten Zertifikate über eine GPO erachte ich, administrativ gesehen als nicht die geeignete Lösung.

Wie könnte so ein Powershell Skript aussehen?

Die Grundlagen sind folgende:

Windows 10 Maschinen. Powershell Skripte sind standardmässig nicht erlaubt.
Die Zertifikate sind in einem Verzeichnis auf einem Linux Server abgelegt, könnten aber auch auf einem Windows Server abgelegt werden.

Anscheinend kann man mit "Enter-PSSession -Computername ip-adresse" bzw "Enable-PSRemoting -Force" eine remote Powershell ausführen.

Hat jemand ein Skript Beispiel wie ich die Zertifikate über Powershell remote installieren könnte?

Danke im Voraus für Eure Hilfe

Content-Key: 667269

Url: https://administrator.de/contentid/667269

Ausgedruckt am: 18.01.2022 um 04:01 Uhr

Mitglied: Pjordorf
Pjordorf 02.06.2021 um 13:23:27 Uhr
Goto Top
Hallo,

Zitat von @Ralus67:
Ich habe folgende Herausforderung. Ich habe selbstsignierte Zertifikate, welche ich über Powershell auf die Arbeitsstation installieren möchte. Die Installation von selbstsignierten Zertifikate über eine GPO erachte ich, administrativ gesehen als nicht die geeignete Lösung.
Womit genau hast du Bauchschmerz?

Gruß,
Peter
Mitglied: Ralus67
Ralus67 02.06.2021 um 13:34:30 Uhr
Goto Top
Kenne mich mit Powershell zu wenig aus.
Mitglied: lcer00
lcer00 02.06.2021 um 13:46:50 Uhr
Goto Top
Hallo,
Zitat von @Ralus67:

Hallo Community

Die Installation von selbstsignierten Zertifikate über eine GPO erachte ich, administrativ gesehen als nicht die geeignete Lösung.

Warum nicht? Meiner Meinung nach ist das sogar die beste Lösung.

Von was für Zertifikaten reden wir eigentlich? A) Benutzerzertifikate B) Computerzertifikate C) Zertifikate vertrauenswürdiger Zertifizierungsstellen?

Grüße

lcer
Mitglied: Ralus67
Ralus67 02.06.2021 um 13:57:32 Uhr
Goto Top
Wir sprechen von Computer Zertifikate

Und im Skript müsste man sich auf dem UNC Pfad Authentifizieren
Mitglied: C.Caveman
C.Caveman 02.06.2021 um 14:35:30 Uhr
Goto Top
Zitat von @Ralus67:

Kenne mich mit Powershell zu wenig aus.
Wenn ich mir deine letzten Beiträge so durchlese... Kann es an der mangelnden Hilfe der Forummitglieder nicht liegen.
Mitglied: em-pie
em-pie 02.06.2021 um 14:41:17 Uhr
Goto Top
Moin,

Zitat von @Ralus67:
Kenne mich mit Powershell zu wenig aus.
Also spätestens dann wäre der Weg via GPO doch prädestiniert :-) face-smile

https://www.gruppenrichtlinien.de/artikel/zertifikate-verteilen

Gruß
em-pie
Mitglied: Ralus67
Ralus67 02.06.2021 um 15:29:37 Uhr
Goto Top
Hab ich gesagt es sei mangelnde Hilfe der Formmitglieder?

Ich bin was Powershell angeht, noch Anfänger. Deswegen suche ich Hilfe. Wären meine Kenntnissse so toll, dann würde ich bestimmt keine Fragen stellen.
Mitglied: lcer00
lcer00 02.06.2021 um 16:25:10 Uhr
Goto Top
Hallo,
Zitat von @Ralus67:

Hab ich gesagt es sei mangelnde Hilfe der Formmitglieder?

Ich bin was Powershell angeht, noch Anfänger. Deswegen suche ich Hilfe. Wären meine Kenntnissse so toll, dann würde ich bestimmt keine Fragen stellen.
Wir wollen ja auch alle helfen. Aber niemand hier scheint Zertifikate auf Windows System über diesen Weg verteilen zu wollen. Mir fallen hier auch kaum sinnvolle Anwendungen ein. Mach das ordentlich über GPOs.

Womit hast Du denn die Zertifikate erstellt?

Grüße

lcer
Mitglied: Ralus67
Ralus67 02.06.2021 um 16:36:09 Uhr
Goto Top
Hallo Icer

Die Geschichte ist so, dass die Zeretifikate über eine externe PKI erstellt wurden. Die Erstellung der Zertifikate wurde automatisch durchgeführt. Nun muss ich einen Weg finden, wie diese Zertifikate dann automatisch auf die Maschine kommen und installiert werden. Deswegen sehe ich Powershell als einzige Lösung.
Mitglied: em-pie
em-pie 02.06.2021 um 16:43:36 Uhr
Goto Top
Zitat von @Ralus67:

Hallo Icer

Die Geschichte ist so, dass die Zeretifikate über eine externe PKI erstellt wurden. Die Erstellung der Zertifikate wurde automatisch durchgeführt. Nun muss ich einen Weg finden, wie diese Zertifikate dann automatisch auf die Maschine kommen und installiert werden.
Also eine Allerweltsaufgabe :-) face-smile

Deswegen sehe ich Powershell als einzige Lösung.
Und weshalb?

Hast du das Zertifikat als Datei vorliegen?
Wenn ja, siehe meinen Link oben!
Wenn Nein, wird dir die PS auch nicht sonderlich helfen :-) face-smile
Mitglied: colinardo
colinardo 02.06.2021 aktualisiert um 17:27:17 Uhr
Goto Top
Servus.
Zitat von @Ralus67:
Die Geschichte ist so, dass die Zeretifikate über eine externe PKI erstellt wurden. Die Erstellung der Zertifikate wurde automatisch durchgeführt. Nun muss ich einen Weg finden, wie diese Zertifikate dann automatisch auf die Maschine kommen und installiert werden. Deswegen sehe ich Powershell als einzige Lösung.
Genau dafür ist die GPO-Verteilung doch perfekt?! Wenn du es warum auch immer noch immer mit der PS machen willst, kein Problem aber eigentlich überflüssige Arbeit die du dir da aufbürdest und sind wir nicht alle immer voll ausgelastet? Du anscheinend nicht :-) face-smile

Entweder als Startskript auf den Clients per GPO zugewiesen (welches automatisch elevated ausgeführt wird)
Bitte daran denken das das Computerobjekt auf das Share und in den NTFS Berechtigungen Leserechte auf den Pfad bekommen muss.

Oder als Beispiel von einer Remote-Maschine aus mit entsprechend berechtigtem Account ausgeführt, jetzt als Beispiel nur für einen Computer, kann man ja dann über eine Schleife auf die gewünschten Maschinen abfeuern.
Na denn viel Spaß wünsche ich.

Grüße Uwe
Mitglied: Ralus67
Ralus67 02.06.2021 um 16:50:53 Uhr
Goto Top
Danke Uwe

Ich probier das mal aus
Mitglied: lcer00
lcer00 02.06.2021 um 16:53:40 Uhr
Goto Top
Hallo,
Zitat von @colinardo:
Na denn viel Spaß wünsche ich.

Infos gibts auch noch hier: https://docs.microsoft.com/en-us/powershell/module/Microsoft.PowerShell. ...

Powershell kann den Zertifikatsstore nämlich wie das normale Dateisystem oder die Registry direkt adressieren. Dann geht z.B. so etwas


Grüße

lcer
Mitglied: Ralus67
Ralus67 02.06.2021 um 16:58:58 Uhr
Goto Top
Danke Icer

Ich probier das auch mal aus.....

Ist für mich noch ein langer Weg, bis ich Powershell begreife :-S
Mitglied: erikro
erikro 02.06.2021 um 19:59:54 Uhr
Goto Top
Moin,

Zitat von @colinardo:

Servus.
Zitat von @Ralus67:
Die Geschichte ist so, dass die Zeretifikate über eine externe PKI erstellt wurden. Die Erstellung der Zertifikate wurde automatisch durchgeführt. Nun muss ich einen Weg finden, wie diese Zertifikate dann automatisch auf die Maschine kommen und installiert werden. Deswegen sehe ich Powershell als einzige Lösung.
Genau dafür ist die GPO-Verteilung doch perfekt?! Wenn du es warum auch immer noch immer mit der PS machen willst, kein Problem aber eigentlich überflüssige Arbeit die du dir da aufbürdest und sind wir nicht alle immer voll ausgelastet? Du anscheinend nicht :-) face-smile

Wenn schon der große @colinardo, Herr der Powershell, Meister des Editors, Helfer aller Skriptkids in Not sagt: "Nimm doch GPOs!", dann solltest Du wirklich darüber nachdenken, ob Dein Weg der richtige ist. ;-) face-wink Und wenn Du Deiner Unkenntnis Abhilfe schaffen möchtest, hier ein wenig Lektüre für den Anfang:
https://docs.microsoft.com/de-de/powershell/
https://www.martinlehmann.de/wp/download/powershell-openbook/

Liebe Grüße

Erik
Mitglied: colinardo
colinardo 02.06.2021 aktualisiert um 21:31:39 Uhr
Goto Top
[OT]
Wenn schon der große @colinardo, Herr der Powershell, Meister des Editors, Helfer aller Skriptkids
Groß ist bei mir nur mein Snüffelstück, und jetzt bloß keine Kommentare ala "Wie die Nase des Mannes so auch sein ..." 🙈
[/OT]
Mitglied: Ralus67
Ralus67 03.06.2021 um 08:09:36 Uhr
Goto Top
Hallo Uwe

mit dem store.open Befehl stimmt etwas nicht. Ich erhalte folgende Fehlermeldung

Exception calling "Open" with "1" argument(s): "The parameter is incorrect.
"
At line:3 char:1

back-to-top$store.Open('ReadWrite')

back-to-top~~~~~~~~~~~~~~~~~~~~~~~~

+ CategoryInfo : NotSpecified: (:) face-smile [], MethodInvocationException
+ FullyQualifiedErrorId : CryptographicException

Was ist die Ursache?
Mitglied: C.Caveman
C.Caveman 03.06.2021 aktualisiert um 08:36:19 Uhr
Goto Top
Zitat von @Ralus67:
...
Was ist die Ursache?

vage Vermutung .
Der Schüler/Anfänger will sich nicht mit den Grundlagen beschäftigen.
"Debug" lautet der Suchbegriff.
https://docs.microsoft.com/de-de/powershell/scripting/windows-powershell ...
Mitglied: colinardo
colinardo 03.06.2021 aktualisiert um 10:38:27 Uhr
Goto Top
Zitat von @Ralus67:

Hallo Uwe

mit dem store.open Befehl stimmt etwas nicht.
Der Aufruf an sich ist korrekt .
Wenn du es genauer schreiben willst indem man die Enumeration nutzt sieht das so aus
<Code>
$store.Open([System.Security.Cryptography.X509Certificates.OpenFlags]::ReadWrite)
</code>
Das obige mit 'ReadWrite' ist einfach nur eine Abkürzung und ebenfalls gültig.
Ich erhalte folgende Fehlermeldung

Exception calling "Open" with "1" argument(s): "The parameter is incorrect.
"
At line:3 char:1

back-to-top$store.Open('ReadWrite')

back-to-top~~~~~~~~~~~~~~~~~~~~~~~~

+ CategoryInfo : NotSpecified: (:) face-smile [], MethodInvocationException
+ FullyQualifiedErrorId : CryptographicException

Was ist die Ursache?
Die "CryptographicException" deutet auf unterschiedliche Fehlerquellen hin als da wären
  • Ungenügende Berechtigungen für den Schreibzugriff auf den Machine-Store des Ziel-Computers
  • Der Client vertraut einem Zertifikat des Remote-Computers nicht.
  • Client- und Remote-Computer besitzen unterschiedliche Patchstände bzw. TLS mismatches.
  • Firewall am Remote-Rechner zu restriktiv

Funktioniert hier im Test auch problemlos
Heiß diskutierte Beiträge
question
Windows Exchange-Server benötige ich eine Domain?Bella21Vor 1 TagFrageWindows Server21 Kommentare

Hallo alle zusammen, ich bin neu auf dem Gebiet. Ich habe Exchange Server auf einen Windows Server 2012 installiert. Nach der Installation fertig war, ist ...

question
10Gbit Netzwerkkabel HPE J9287b X242 SFP+ gelöst jedineo2002Vor 2 TagenFrageNetzwerke10 Kommentare

Hallo zusammen, ich hätte hier zwei HPE J9287B SFP+ Kabel zur Verfügung, in der Länge von 15 Metern, was zumindest schon einmal perfekt wäre von ...

question
WEBSEITE zerschossen. Brauche dringend hilfe! :) gelöst wieoderwasVor 1 TagFrageWebentwicklung5 Kommentare

Hallo zusammen, ich wollte eben auf der Typo3 Seite von unseren Unternehmen die Erweiterung der IT Kanzlei installieren. Nun erhalte ich beim Webseiten aufruf folgenden ...

question
Scanner Log4JjoergVor 1 TagFrageSicherheits-Tools15 Kommentare

Hallo zusammen, Log4J ist ja mittlerweile schon ein paar Tage her aber immer noch aktuell. Ich bin aktuell auf der Suche nach einem Scanner der ...

question
Welcher Switch Hersteller kann trotz Silikonknappheit ordentlich liefern?NordicMikeVor 1 TagFrageSwitche und Hubs7 Kommentare

Moin zusammen, dieses Ubiquiti Zeug muss weg, das kann ja nicht einmal QoS, auch, wenn der Unifi Controller mit seiner zentralen Verwaltung gut zu bedienen ...

question
DNS neu einrichtensmschmidtVor 1 TagFrageDNS14 Kommentare

Hallo zusammen, hab wieder ein Problem: Hab einen neuen Windows Server 2022 (Server3) in unsere Domain aufgenommen, zum DC gemacht und DHCP und DNS installiert. ...

question
Telefonie noch im alten Standort erneuern?GrinskeksVor 1 TagFrageTK-Netze & Geräte7 Kommentare

Hallo zusammen, bei meinem neuen Arbeitgeber steht der Umzug in ein neues Firmengebäude und eine Aktualisierung der Telekommunikation an. Wir hatten einen Support zur betagten ...

question
Eigene Hardware + VLAN an Vodafone Kabel gelöst darkness08Vor 1 TagFrageInternet12 Kommentare

Guten Morgen Zusammen, ich möchte gerne an einen Vodafone Kabelanschluss eigene Hardware betreiben. Da es sich hierbei nicht um meinen eigenen Anschluss handelt fehlt mir ...