Installation von IE Zertifikat "kbsc.p7b"
Installation von IE Zertifikat "kbsc.p7b"
Hallo,
ich installiere dieses Zertifikat mit folgendem Aufruf:
C:\winxp\system32\rundll32.exe C:\winxp\system32\cryptext.dll,CryptExtAddCER C:\winxp\system32\kbsc.p7b
Generell funktioniert das, ich kann aber nicht in folgenden Key schreiben:
HKCU,"Software\Microsoft\SystemCertificates\Root\ProtectedRoots"
Es kommt ein Fenster:
"Ungültige "Öffentlicher-Schlüssel"-Sicherheitsobjektdatei"
mit der Meldung:
"Diese Datei ist für folgende Verwendung ungültig: Sicherheitszertifikat".
Wie bekomme ich das Zertifikat nun in den IE?
Gruß
Michael Fisahn
ich installiere dieses Zertifikat mit folgendem Aufruf:
C:\winxp\system32\rundll32.exe C:\winxp\system32\cryptext.dll,CryptExtAddCER C:\winxp\system32\kbsc.p7b
Generell funktioniert das, ich kann aber nicht in folgenden Key schreiben:
HKCU,"Software\Microsoft\SystemCertificates\Root\ProtectedRoots"
Es kommt ein Fenster:
"Ungültige "Öffentlicher-Schlüssel"-Sicherheitsobjektdatei"
mit der Meldung:
"Diese Datei ist für folgende Verwendung ungültig: Sicherheitszertifikat".
Wie bekomme ich das Zertifikat nun in den IE?
Gruß
Michael Fisahn
Ich gehe davon aus, dass es nichtmal klappt, wenn der Aufruf OHNE setup.inf einfach über Start->Ausführen unter einem Admin-Account ausgeführt wird: Auch ein User darf nicht überall in HKCU schreiben.
Mit dem IEAK, da gibt es m.E. eine Möglichkeit, Zertifikate mit einzubinden.Wie bekomme ich das Zertifikat nun in den IE?
Jens Beimel
Principal Consultant
Matrix42 AG
info@matrix42.de
http://www.matrix42.de
Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of Matrix42 AG.
Principal Consultant
Matrix42 AG
info@matrix42.de
http://www.matrix42.de
Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of Matrix42 AG.
Es klappt mit lokalen Admin-Rechten, wenn man im IE unter "Inhalte->Zertifikate>Importieren" auswählt. Die kritische Registerkarte ist hier "Vertrauenswürdige Stammzertifizierungsstellen" - über diesen Weg funktioniert es, ich finde aber keine Möglichkeit das mit Empirum-Mitteln umzusetzen.
Hat jemand einen Ansatz?
Gruß
Michael Fisahn
Hat jemand einen Ansatz?
Gruß
Michael Fisahn
-
- Posts: 29
- Joined: 14. Dec 2004, 11:21
- Contact:
Hallo,
Das funktioniert nur bedingt - das entsprechende Zertifikat wird mit dem angesprochenen Key unter "Zwischenzertifizierungsstellen" geschrieben - das klappt.
Was aber scheitert ist der entsprechende Eintrag in die "Vertrauenswürdige Stammzertifizierungsstellen" - das ist der o.g. Key unter HKEY_CURRENT_USER, "Software\Microsoft\SystemCertificates\Root\ProtectedRoots".
Hat das bei Ihnen funktioniert?
Gruß
Michael Fisahn
Das funktioniert nur bedingt - das entsprechende Zertifikat wird mit dem angesprochenen Key unter "Zwischenzertifizierungsstellen" geschrieben - das klappt.
Was aber scheitert ist der entsprechende Eintrag in die "Vertrauenswürdige Stammzertifizierungsstellen" - das ist der o.g. Key unter HKEY_CURRENT_USER, "Software\Microsoft\SystemCertificates\Root\ProtectedRoots".
Hat das bei Ihnen funktioniert?
Gruß
Michael Fisahn
-
- Posts: 29
- Joined: 14. Dec 2004, 11:21
- Contact:
Zertifikat
Hallo bei uns hat es so funktioniert !!!!
Rechte Maustaste Zertifikat installieren -> nicht automatisch ->
Zertifikatsspeicher mauell wählen ... Häkchen Physikalischer Speicher anzeigen .... dann Vertrauenswürdige Stammzertifizierungsstellen -> Lokaler Computer wählen dann funtzt es.
Wie schon gesagt Diff machen und dann sollte unter dem genannten Schlüssel ein neuer KEY befinden.
Gruß Marc
Rechte Maustaste Zertifikat installieren -> nicht automatisch ->
Zertifikatsspeicher mauell wählen ... Häkchen Physikalischer Speicher anzeigen .... dann Vertrauenswürdige Stammzertifizierungsstellen -> Lokaler Computer wählen dann funtzt es.
Wie schon gesagt Diff machen und dann sollte unter dem genannten Schlüssel ein neuer KEY befinden.
Gruß Marc
Verfolge den Thread mit Interesse, glaube aber dass hier aneinander vorbeigeredet wird (HKCU und HKLM)
Den betreffenden Reg-Key mit dem PackageWizard aufzuzeichnen ist nicht das Problem, denn LESE-Rechte sind da drauf gegeben. Das Problem ist die Verteilung mit setup.inf, denn nur System hat auf den Reg-Key SCHREIB-Rechte.
Aber vieleicht hilft das ja weiter:
http://msdn.microsoft.com/library/defau ... ertmgr.asp
http://www.microsoft.com/downloads/deta ... laylang=en
Den betreffenden Reg-Key mit dem PackageWizard aufzuzeichnen ist nicht das Problem, denn LESE-Rechte sind da drauf gegeben. Das Problem ist die Verteilung mit setup.inf, denn nur System hat auf den Reg-Key SCHREIB-Rechte.
Aber vieleicht hilft das ja weiter:
http://msdn.microsoft.com/library/defau ... ertmgr.asp
http://www.microsoft.com/downloads/deta ... laylang=en
Jens Beimel
Principal Consultant
Matrix42 AG
info@matrix42.de
http://www.matrix42.de
Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of Matrix42 AG.
Principal Consultant
Matrix42 AG
info@matrix42.de
http://www.matrix42.de
Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of Matrix42 AG.
...und läuft
So, zunächst einmal: beide Wege führen zum Erfolg.
Allerdings benötigt man für die von jbeimel vorgeschlagene Lösung Admin-Rechte, was bei der Lösung von Marc Reissmann nicht erforderlich ist.
Danke an alle Beteiligten!
Gruß
Michael
Allerdings benötigt man für die von jbeimel vorgeschlagene Lösung Admin-Rechte, was bei der Lösung von Marc Reissmann nicht erforderlich ist.
Danke an alle Beteiligten!
Gruß
Michael
Re: Zertifikat
Über diesen Weg haben wir ein Webwasher Zertifikat eingebunden und per Empirum zur Sicherheit /AW verteilt. Gibt es denn keine andere, komfortablere Möglichkeit, Zertifikate einzubinden? Die Diff Methode mit den vielen Regkeys finde ich ziemlich unübersichtlich und schlecht nachvollziehbar.Marc Reissmann wrote:Hallo bei uns hat es so funktioniert !!!!
Rechte Maustaste Zertifikat installieren -> nicht automatisch ->
Zertifikatsspeicher mauell wählen ... Häkchen Physikalischer Speicher anzeigen .... dann Vertrauenswürdige Stammzertifizierungsstellen -> Lokaler Computer wählen dann funtzt es.
Wie schon gesagt Diff machen und dann sollte unter dem genannten Schlüssel ein neuer KEY befinden.
Gruß Marc
Gruß,
Moeki.
Zertifikate korrekt einbinden
Hallo!
Genau vor diesem Problem standen wir bei uns vor ca. nem halben Jahr.
Bei uns musste ein Zertifikat "Ärztekammer Westfalen-Lippe.cer" unter "Vertrauenswürdige Stammzertifikate" importiert werden.
Für diese ganze Aktion gibt es ein Tool von Microsoft aus dem Resource Kit zu Windows 2003 namens certmgr, dass sich wunderbar per Skripting aufrufen lässt.
Den genauen Aufruf poste ich hier heute abend noch, hab den zurzeit nicht im Kopf.
Gruß
Andrè Döking
Ärztekammer Westfalen-Lippe
Genau vor diesem Problem standen wir bei uns vor ca. nem halben Jahr.
Bei uns musste ein Zertifikat "Ärztekammer Westfalen-Lippe.cer" unter "Vertrauenswürdige Stammzertifikate" importiert werden.
Für diese ganze Aktion gibt es ein Tool von Microsoft aus dem Resource Kit zu Windows 2003 namens certmgr, dass sich wunderbar per Skripting aufrufen lässt.
Den genauen Aufruf poste ich hier heute abend noch, hab den zurzeit nicht im Kopf.
Gruß
Andrè Döking
Ärztekammer Westfalen-Lippe
Aufruf für certmgr
Hallo!
So, hier der Aufruf für certmgr:
CALLHIDDEN "%SRC%\All\certmgr.exe" -add -c "%SRC%\All\[Zertifikat].cer" -s -r localMachine root
Mit freundlichen Grüßen
Andrè Döking
Ärztekammer Westfalen-Lippe
So, hier der Aufruf für certmgr:
CALLHIDDEN "%SRC%\All\certmgr.exe" -add -c "%SRC%\All\[Zertifikat].cer" -s -r localMachine root
Mit freundlichen Grüßen
Andrè Döking
Ärztekammer Westfalen-Lippe
Fein, dass werde ich morgen mal testen. Scheinbar klappt der oben genannte Weg nur bei Usern mit Admin Rechten. In der Setup Error Log steht was davon, dass er diverse Keys nicht anlegen kann.
edit:
ich verbringe schon 2 stunden damit, dieses tool zu suchen. scheinbar ist es nicht im windows 2003 server resource kit, sondern im .net sdk kit. bin gerade am downloaden.
edit:
ich verbringe schon 2 stunden damit, dieses tool zu suchen. scheinbar ist es nicht im windows 2003 server resource kit, sondern im .net sdk kit. bin gerade am downloaden.
Dieser Aufruf funktioniert leider nicht bei Systemen, an denen mehrere Benutzer arbeiten.CALLHIDDEN "%SRC%\certmgr.exe" -add -c "%SRC%\viewCA.cer" -s -r localMachine root
Zur Zeit habe ich zum Test das Paket in der Programme Gruppe und kann es für den angemeldeten User installieren. Das Zertifikat wird dann im IE angezeigt und funktioniert auch ohne Probleme.
Meldet sich ein anderer User an, wird das Paket als installiert angezeigt, das Zertifikat wird aber nicht in IE angezeigt und ist demnach nicht für den User eingebunden.
http://msdn.microsoft.com/library/deu/d ... mgrexe.asp
Was sind die Alternativen? Für mich im Moment nur, den Aufruf in ein Anmeldeskript zu packen. Da auf bestimmten Clients der Agent nur nachts zwischen 0 und 3 Uhr installieren darf, kommt die Option "immer installieren" nicht in Frage, weil sich in dieser Zeit kein User anmeldet.
Kann ich den Aufruf userspezifisch gestalten, so dass /AW funktionieren würde oder welche andere Alternative gibt es?
Gruß,
Moeki.
-
- Moderator
- Posts: 7962
- Joined: 13. Dec 2004, 23:10
- Location: Adendorf/Lüneburg
Klar, man kann so was auch userspezifisch machen.
Ich würde dann nur die Dateien in das %APP% kopieren weil eventuell der Server nicht zur Verfügung steht wenn User offline.
--set:call-user,client
[set:call-user]
CALLHIDDEN "%app%\certmgr.exe" -add -c "%app%\viewCA.cer" -s -r localMachine root
Ich würde dann nur die Dateien in das %APP% kopieren weil eventuell der Server nicht zur Verfügung steht wenn User offline.
--set:call-user,client
[set:call-user]
CALLHIDDEN "%app%\certmgr.exe" -add -c "%app%\viewCA.cer" -s -r localMachine root
Hendrik Ambrosius / Senior Presales Consultant
Mobile: +49 172 408 4447 | hendrik.ambrosius@matrix42.com
Matrix42 GmbH | Elbinger Straße 7 | 60487 Frankfurt am Main | Germany | www.matrix42.com
Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of Matrix42 or of the support team.
Mobile: +49 172 408 4447 | hendrik.ambrosius@matrix42.com
Matrix42 GmbH | Elbinger Straße 7 | 60487 Frankfurt am Main | Germany | www.matrix42.com
Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of Matrix42 or of the support team.
Re: certmgr
Hallo!
Exakt den Aufruf, den ich Ihnen gepostet habe, ergänzt um unser Zertifikat, haben wir bei uns in einem Paket im Einsatz.
Für jeden User ist das Stammzertifikat zu sehen, auch wenn es nur einmal im Maschinenkontext läuft.
Mit freundlichen Grüßen
Andrè Döking
Ärztekammer Westfalen-Lippe
Exakt den Aufruf, den ich Ihnen gepostet habe, ergänzt um unser Zertifikat, haben wir bei uns in einem Paket im Einsatz.
Für jeden User ist das Stammzertifikat zu sehen, auch wenn es nur einmal im Maschinenkontext läuft.
Mit freundlichen Grüßen
Andrè Döking
Ärztekammer Westfalen-Lippe
Who is online
Users browsing this forum: No registered users and 6 guests