nano1994
Goto Top

Zertifikate per GPO

Hallo zusammen,

leider bekommen wir es nicht hin, ein Zertifikat in die "Eigenen Zertifikate" im Benutzerkontext per GPO zu importieren.

Wenn ich es über die GPO in die Computerkonfiguration importiere gibt es das Problem, dass der Internet Explorer des angemeldeten Benutzers das Zertifikat nicht abrufen kann.

Kennt hier jemand noch eine Lösung? Alternativ muss ich es per Logon-Script und certutil lösen.

PS: Es handelt sich um einen Terminalserver (Windows Server 2012 R2 Datacenter).

Content-ID: 308469

Url: https://administrator.de/forum/zertifikate-per-gpo-308469.html

Ausgedruckt am: 23.12.2024 um 07:12 Uhr

emeriks
emeriks 29.06.2016 um 11:40:40 Uhr
Goto Top
Hi,
leider bekommen wir es nicht hin, ein Zertifikat in die "Eigenen Zertifikate" im Benutzerkontext per GPO zu importieren.

Wenn ich es über die GPO in die Computerkonfiguration importiere gibt es das Problem, dass der Internet Explorer des angemeldeten Benutzers das Zertifikat nicht abrufen kann.
irgendwie komisch. Wenn ein Zertifikat beim Benutzer unter "Eigene Zertifikate" reingehört, dann versucht man es doch nicht über die "Eigenen Zertifikate" des Computers?
Was ist das denn für ein Zertifikat? SSL? Oder etwa das einer "vertrauenswürdigen Zertifizierungsstelle"?

leider bekommen wir es nicht hin, ein Zertifikat in die "Eigenen Zertifikate" im Benutzerkontext per GPO zu importieren.
Was genau ist denn das Problem? Wo hängt es?
  1. Kannst GPO nicht erstellen und/oder Zertifikat nicht in GPO importieren?
  2. GPO-Erstellung kein Problem aber Zertifikat landet nicht beim Benutzer unter "Eigene Zertifikate"?
  3. Zertifikat landet beim Benutzer aber im IE funktioniert es dann trotzdem nicht?
Oder was?

E.
nano1994
nano1994 29.06.2016 aktualisiert um 11:50:02 Uhr
Goto Top
Sorry..

  • Es ist ein SSL Zertifikat
  • In der GPO habe ich keine Möglichkeit gefunden, dieses als "Eigenes Zertifikat" zu importieren. Im Benutzerkontext schon gar nicht.

Wenn ich das Zertifikat im Computerkontext importiere landet es automatisch in den vertrauenswürdigen Stammzertifizierungsstellen. Ich kann dort keine andere Auswahl treffen.
emeriks
emeriks 29.06.2016 um 13:23:06 Uhr
Goto Top
* Es ist ein SSL Zertifikat
  • In der GPO habe ich keine Möglichkeit gefunden, dieses als "Eigenes Zertifikat" zu importieren. Im Benutzerkontext schon gar nicht.
Ja hast recht, habe ich vergessen.

Also ein SSL-Zertifikat, welches dem Benutzer zugeordnet ist. Inc. privatem Key?
Schau mal im AD am Benutzer-Objekt unter Reiter "Veröffentlichte Zertifikate".
nano1994
nano1994 04.07.2016 um 09:21:06 Uhr
Goto Top
Vielen Dank! Leider ist es mir nicht möglich bei diesem Kunden dies zu überprüfen da ich dort keine AD Berechtigungen erhalte.

Dann muss es letztendlich ja per Logon-Script mit dem certutil gelöst werden..
emeriks
Lösung emeriks 04.07.2016 aktualisiert um 10:39:43 Uhr
Goto Top
Vielen Dank! Leider ist es mir nicht möglich bei diesem Kunden dies zu überprüfen da ich dort keine AD Berechtigungen erhalte.
Du hast beim Kunden keine AD-Berechtigungen aber kannst dort Loginscripte platzieren? Wie passt das zusammen?

Ich habe hier noch ein uraltes VBscript, welches ich vor Jahren mal verwendet habe. Musst Du mal schauen, ob Du das für Deine Zwecke anpassen kannst.
Es macht nichts anderes als den Benutzerdialog zum Importieren eines Zertifikats zu automatisieren. Was noch fehlt, ist die Eingabe des Passworts für den provaten Schlüssel. Es geht davon aus, dass sich die Zertifkatsdatei (hier eine "cert.pfx") im selben Verzeichnis wie dem des VBScripts befindet. Kann man aber anpassen.
Das Script ist noch aus WinXP/2003-Zeiten. Wie gesagt, uralt.

Dim FSO, WshShell
Set FSO = CreateObject("Scripting.FileSystemObject")  
Set WshShell = CreateObject("Wscript.Shell")  

If Not FSO.FileExists(WshShell.ExpandEnvironmentStrings("%APPDATA%") & "\cert.pfx") Then  
  WshShell.Run "rundll32.exe cryptext.dll,CryptExtAddPFX cert.pfx"  
  WScript.Sleep 100
  WshShell.AppActivate "Zertifikatimport-Assistent"  
  WScript.Sleep 100
  WshShell.SendKeys "%w"  
  WScript.Sleep 100
  WshShell.SendKeys "%w"  
  WScript.Sleep 100
  WshShell.SendKeys "%w"  
  WScript.Sleep 100
  WshShell.SendKeys "%w"  
  WScript.Sleep 100
  WshShell.SendKeys "%w"  
  WScript.Sleep 100
  WshShell.SendKeys "~"  
  WScript.Sleep 100
  WshShell.AppActivate "Zertifikatimport-Assistent"  
  WScript.Sleep 100
  WshShell.SendKeys "~"  

  FSO.CopyFile "cert.pfx", WshShell.ExpandEnvironmentStrings("%APPDATA%") & "\cert.pfx", True  
End If
nano1994
nano1994 05.07.2016 um 10:31:56 Uhr
Goto Top
Vielen Dank hierfür!