Zertifikat auf Clients installieren

Alle Fragen rund Antworten rund um die ACMP Client Commands und Container
Benutzeravatar
Falaffel
Beiträge: 158
Registriert: Do Feb 04, 2016 5:53 pm

Guten Tag,

wir müssen für eine Software auf den jeweiligen Clients ein p7b Zertifikat in zwei Stammordner der Zertifikatsverwaltung importieren, damit beim Start der Anwendung die entsprechende Warnmeldung nicht mehr erscheint.
Gibt es dafür einen speziellen Befehl im CC-Editor oder muss so etwas über ein Skript (z.B. Powershell) gemacht werden?
Mit freundlichen Grüßen

Robert-Daniel Steichele
r.steichele@gottlob-rommel.de
http://www.gottlob-rommel.de
Dennis Koch
Beiträge: 501
Registriert: Di Nov 20, 2012 4:03 pm

Hallo,

derzeit gibt es hierfür keinen Baustein. Es gibt allerdings einen Verbesserungsvorschlag wo ich Ihr Interesse ergänzt habe.
Mit freundlichen Grüßen / Best regards

Dennis Koch
Aagon GmbH
Benutzeravatar
ngottschalk
Beiträge: 293
Registriert: Mi Sep 08, 2010 12:57 pm

Hallo Falaffel,

ich weiß zwar nicht, ob das auch mit p7b-Zertifikatdateien funktioniert, aber *.cer-Dateien haben wir in manchen Client Commands mit folgendem Aufruf z.B. in den Zertifikatsspeicher für vertrauenswürdigen Herausgeber importiert:
"%WINDIR%SysNative\certutil.exe" -f -addstore TrustedPublisher "%DOWNLOAD_PATH%Sophos.cer"
(Das mit dem SysNative ist in der aktuellen Version aufgrund der neuen Checkbox im Shell Execute Command nichtmehr notwendig)
Mit freundlichen Grüßen

Niklas Gottschalk (gottschalk@zoller-usa.com)
IT Systems Administrator
Zoller Inc.
Benutzeravatar
Falaffel
Beiträge: 158
Registriert: Do Feb 04, 2016 5:53 pm

Hallo Niklas,

werde das gerne mal testen.

Ich habe jetzt mit folgenden Powershell commands das Zertifikat in die beiden Stammordner importieren können, wobei beim Import in "vertrauenswürdige Stammzertifizierungsstellen" (root) noch eine Sicherheitsabfrage kommt, ob man ganz sicher ist, dass man das Zertifikat dort hin importieren möchte. Da suche ich noch nach einem Parameter, den ich dem command mitgeben kann um diese Abfrage zu bestätigen oder zu unterdrücken.

Code: Alles auswählen

Set-Location -Path Cert:\CurrentUser\Root

Code: Alles auswählen

Import-Certificate -FilePath "E:\CTI1.rommel.local.p7b"

Code: Alles auswählen

Set-Location -Path Cert:\CurrentUser\ADDRESSBOOK

Code: Alles auswählen

Import-Certificate -FilePath "E:\CTI1.rommel.local.p7b"

Über ACMP habe ich das jetzt noch nicht testen können.
Mit freundlichen Grüßen

Robert-Daniel Steichele
r.steichele@gottlob-rommel.de
http://www.gottlob-rommel.de
Benutzeravatar
ngottschalk
Beiträge: 293
Registriert: Mi Sep 08, 2010 12:57 pm

Hallo Robert,

scheinbar hat das "Import-Certificate" einen Parameter "-Confirm", der auf false gesetzt werden kann, damit könnte man das ggf. umgehen. Außerdem würde ich empfehlen, statt des CurrentUsers den Zertifikatsspeicher vom PC zu nutzen, ansonsten muss das Command impersoniert für alle Benutzer einmal laufen.
Mit freundlichen Grüßen

Niklas Gottschalk (gottschalk@zoller-usa.com)
IT Systems Administrator
Zoller Inc.
Benutzeravatar
Falaffel
Beiträge: 158
Registriert: Do Feb 04, 2016 5:53 pm

Hallo Niklas,

danke für die schnelle Anwort. Werde das gleich morgen testen. CurrentUsers ist in der Anleitung vom Hersteller vorgegeben. Werde aber auf jeden Fall local Machine zu verwenden.
Mit freundlichen Grüßen

Robert-Daniel Steichele
r.steichele@gottlob-rommel.de
http://www.gottlob-rommel.de
Benutzeravatar
Falaffel
Beiträge: 158
Registriert: Do Feb 04, 2016 5:53 pm

Hallo zusammen,

vielen Dank nochmal für euer Hilfe. Habe jetzt folgende Lösung für uns gefunden. Glücklicherweise kommt beim Installieren von Zertifikaten in Zertifikatspeicher des Computers keine Sicherheitsabfrage, weshalb ich dieses Thema erst mal außen vor lassen konnte.

PS: durch den Schalter -confirm kann eine Sicherheitsabfrage von Powershell schon vor dem Ausführen des Skriptes realisiert werden.
2018-10-22_124001.png
2018-10-22_124001.png (88.06 KiB) 13837 mal betrachtet
Mit freundlichen Grüßen

Robert-Daniel Steichele
r.steichele@gottlob-rommel.de
http://www.gottlob-rommel.de
Marcin Pawlikowski
Beiträge: 2
Registriert: Mi Mai 22, 2019 10:09 am

Hallo zusammen,

ich habe hierzu auch eine Frage.
Ich habe 3 Zertifikate die für eine Software auf Clients benötigt werden:
GeoTrustSHA256SSLCA, GeoTrust TLS RSA CA G1 und GeoTrustPrimaryCertificationAuthority-G3.
Wie kann ich diese Zertifikate über das ACMP verteilen und silent installieren?
Besten Grüße.
Benutzeravatar
Falaffel
Beiträge: 158
Registriert: Do Feb 04, 2016 5:53 pm

Hallo Marcin,

wie du oben lesen kannst, gibt es in ACMP momentan keinen eigenen Baustein dafür. Du musst das z.B. wie ich über ein Powershellscript, oder über eine der anderen vorgeschlagenen Lösungen realisieren.
Mit freundlichen Grüßen

Robert-Daniel Steichele
r.steichele@gottlob-rommel.de
http://www.gottlob-rommel.de
Marcin Pawlikowski
Beiträge: 2
Registriert: Mi Mai 22, 2019 10:09 am

Hallo Robert,

danke für deine Antwort. Ich habe gehofft es das inszwischen eine Lösung gibt.

Besten Gruß.
Antworten