Zertifikat über Skript installieren

[pz6j89 10]

Hallo zusammen.

 

Ich bin mir nicht sicher ob ich die Frage hier schon gestellt habe (oder andere). Meine Suche hat zumindest nichts ergeben.

 

Wir haben für unseren Terminalserverzugang ein Zertifikat welches bei unseren externen Mitarbeitern unter "Computerkonto" -> "Vertrauenswürdige Stammzertifizierungstellen" installiert werden muss. Damit ich mich bei neuen Benutzern oder Zertifikatserneuerungen nicht immer bei allen draufhängen muss um das neue Zertifikat zu installieren würde ich gerne eine Art Installationsdatei haben (MSI, Batch, Powershell o.ä.), Damit die Mitarbeiter sich das Zertifikat selbst installieren können. Ich bin immer daran gescheitert, dass dafür ein Adminaccount erforderlich ist.

 

Ich hatte es z.B. mal hiermit versucht (ohne Erfolg):

certmgr.exe -add -c "xxxxxx.cer" -s -r localMachine root

Kennt jemand von euch eine Lösung?

 

Gruss Oli

[testperson 1.680]

Hi,

 

schau dir das mal an: http://poweradmin.se/blog/2010/01/23/how-to-distribute-root-certificates-as-exe-files/

 

Der User muss es allerdings über "Als Admin ausführen" starten.

 

Gruß

Jan

[pz6j89 10]

Hi,

 

schau dir das mal an: http://poweradmin.se/blog/2010/01/23/how-to-distribute-root-certificates-as-exe-files/

 

Der User muss es allerdings über "Als Admin ausführen" starten.

 

Gruß

Jan

 

MAch ich.

 

Muss er dann nicht auch das Adminkennwort eingeben wenn er das so auswählt? Oder fragt das System in diesem Falle nicht?

[testperson 1.680]

Hi,

 

sollte der User Adminrechte haben und die UAC ist default, dann sollte er auf "Ja" klicken müssen. Sollte der User keine Adminrechte haben, muss er entsprechenden User sowie Passwort eingeben.

 

Handelt es sich hier um PCs in der Domäne oder losgelöste Heimarbeitsplätze? Sofern es Domänen Mitglieder sind, würde ich das / die Zertifikate per GPO verteilen.

 

Gruß

Jan

[pz6j89 10]

Teils, teils

 

Wir verteilen die Certs schon über GPO, allerding geht das auch nur bei denen die auch Verbindung zum Netzwerk haben.

 

Ein Teil hat von uns Notebooks gestellt bekommen, die zwar in der Domäne sind aber keine Netzwerkverbindung zu dieser haben (auch nicht über VPN). Die User haben nur Benutzerrechte. Dann gibts aber auch welche die eigene Geräte nutzen. Die sind nicht in der Domäne und haben meist Adminrechte. Problematisch ist es also nur bei den ersteren.

[zahni 554]

ich würde  es mal mit certutil -addstore -f -user ....   probieren.

[Dunkelmann 96]

Moin,

 

normalerweise sollte es ausreichen, das Zertifikat im Benutzerzweig unter 'Vertrauenswürdige Stammzertifizierungstellen' zu installieren.

[zahni 554]

Eben, das soll mein Befehl ja "bewirken". Habe es aber  nicht getestet. Generell lassen sich aber Root-Zertifikate in der personal store installieren, wenn man das per GPO nicht abgestellt hat.

[daabm 1.356]

Zertifikate für den Computer lassen sich nur als Admin installieren - ist halt so :)

[zahni 554]

Stand da irgendwo, dass er ein Computer-Zertifikat importieren will?

[daabm 1.356]

Stand da irgendwo, dass er ein Computer-Zertifikat importieren will?

 

Ja - in Post #1:

 

"Wir haben für unseren Terminalserverzugang ein Zertifikat welches bei unseren externen Mitarbeitern unter "Computerkonto" -> "Vertrauenswürdige Stammzertifizierungstellen" installiert werden muss."

 

Kann sein, ich hab das mißverständlich ausgedrückt. Ich meinte nicht "Zertifikat für den Computer", sondern "Zertifikat im Store des Computers" :)

bearbeitet 26. Januar 2015 von daabm

[zahni 554]

Die Frage ist, ob man eine "Vertrauenswürdige Stammzertifizierungstelle" auch im Personal Store installieren kann. In meiner Erinnerung müsste das gehen, wenn man das per GPO nicht abgestellt hat.

[pz6j89 10]

Danke euch erstmal. Ich probiere mal ein wenig rum wenn ich wieder etwas Luft habe...