Seite 1 von 2

Installation von IE Zertifikat "kbsc.p7b"

Verfasst: 04. Jul 2005, 12:37
von mfisahn
Hallo,
ich installiere dieses Zertifikat mit folgendem Aufruf:

C:\winxp\system32\rundll32.exe C:\winxp\system32\cryptext.dll,CryptExtAddCER C:\winxp\system32\kbsc.p7b

Generell funktioniert das, ich kann aber nicht in folgenden Key schreiben:
HKCU,"Software\Microsoft\SystemCertificates\Root\ProtectedRoots"

Es kommt ein Fenster:
"Ungültige "Öffentlicher-Schlüssel"-Sicherheitsobjektdatei"
mit der Meldung:
"Diese Datei ist für folgende Verwendung ungültig: Sicherheitszertifikat".

Wie bekomme ich das Zertifikat nun in den IE?

Gruß
Michael Fisahn

Verfasst: 04. Jul 2005, 13:11
von jbeimel
Ich gehe davon aus, dass es nichtmal klappt, wenn der Aufruf OHNE setup.inf einfach über Start->Ausführen unter einem Admin-Account ausgeführt wird: Auch ein User darf nicht überall in HKCU schreiben.
Wie bekomme ich das Zertifikat nun in den IE?
Mit dem IEAK, da gibt es m.E. eine Möglichkeit, Zertifikate mit einzubinden.

Verfasst: 05. Jul 2005, 07:22
von mfisahn
Es klappt mit lokalen Admin-Rechten, wenn man im IE unter "Inhalte->Zertifikate>Importieren" auswählt. Die kritische Registerkarte ist hier "Vertrauenswürdige Stammzertifizierungsstellen" - über diesen Weg funktioniert es, ich finde aber keine Möglichkeit das mit Empirum-Mitteln umzusetzen.
Hat jemand einen Ansatz?

Gruß
Michael Fisahn

Verfasst: 08. Jul 2005, 16:38
von Marc Reissmann
Hallo so funktioniert es !!

Das Zertifikat als vertrauenswürdiges Stammzertifikat importieren....

Dann Diff machen und auf diesen Regkey achten.

HKLM,"SOFTWARE\Microsoft\SystemCertificates\CA\Certificates\

Gruß Marc

Verfasst: 11. Jul 2005, 09:59
von mfisahn
Hallo,
Das funktioniert nur bedingt - das entsprechende Zertifikat wird mit dem angesprochenen Key unter "Zwischenzertifizierungsstellen" geschrieben - das klappt.
Was aber scheitert ist der entsprechende Eintrag in die "Vertrauenswürdige Stammzertifizierungsstellen" - das ist der o.g. Key unter HKEY_CURRENT_USER, "Software\Microsoft\SystemCertificates\Root\ProtectedRoots".
Hat das bei Ihnen funktioniert?

Gruß
Michael Fisahn

Zertifikat

Verfasst: 11. Jul 2005, 10:24
von Marc Reissmann
Hallo bei uns hat es so funktioniert !!!!

Rechte Maustaste Zertifikat installieren -> nicht automatisch ->

Zertifikatsspeicher mauell wählen ... Häkchen Physikalischer Speicher anzeigen .... dann Vertrauenswürdige Stammzertifizierungsstellen -> Lokaler Computer wählen dann funtzt es.

Wie schon gesagt Diff machen und dann sollte unter dem genannten Schlüssel ein neuer KEY befinden.

Gruß Marc

Verfasst: 12. Jul 2005, 16:42
von jbeimel
Verfolge den Thread mit Interesse, glaube aber dass hier aneinander vorbeigeredet wird ;-) (HKCU und HKLM)
Den betreffenden Reg-Key mit dem PackageWizard aufzuzeichnen ist nicht das Problem, denn LESE-Rechte sind da drauf gegeben. Das Problem ist die Verteilung mit setup.inf, denn nur System hat auf den Reg-Key SCHREIB-Rechte.
Aber vieleicht hilft das ja weiter:
http://msdn.microsoft.com/library/defau ... ertmgr.asp
http://www.microsoft.com/downloads/deta ... laylang=en

...und läuft

Verfasst: 13. Jul 2005, 11:45
von mfisahn
So, zunächst einmal: beide Wege führen zum Erfolg.
Allerdings benötigt man für die von jbeimel vorgeschlagene Lösung Admin-Rechte, was bei der Lösung von Marc Reissmann nicht erforderlich ist.
Danke an alle Beteiligten!

Gruß
Michael

Re: Zertifikat

Verfasst: 13. Feb 2006, 13:48
von Moeki
Marc Reissmann hat geschrieben:Hallo bei uns hat es so funktioniert !!!!

Rechte Maustaste Zertifikat installieren -> nicht automatisch ->

Zertifikatsspeicher mauell wählen ... Häkchen Physikalischer Speicher anzeigen .... dann Vertrauenswürdige Stammzertifizierungsstellen -> Lokaler Computer wählen dann funtzt es.

Wie schon gesagt Diff machen und dann sollte unter dem genannten Schlüssel ein neuer KEY befinden.

Gruß Marc
Über diesen Weg haben wir ein Webwasher Zertifikat eingebunden und per Empirum zur Sicherheit /AW verteilt. Gibt es denn keine andere, komfortablere Möglichkeit, Zertifikate einzubinden? Die Diff Methode mit den vielen Regkeys finde ich ziemlich unübersichtlich und schlecht nachvollziehbar.

Gruß,
Moeki.

Zertifikate korrekt einbinden

Verfasst: 13. Feb 2006, 18:33
von andi20coe
Hallo!

Genau vor diesem Problem standen wir bei uns vor ca. nem halben Jahr.

Bei uns musste ein Zertifikat "Ärztekammer Westfalen-Lippe.cer" unter "Vertrauenswürdige Stammzertifikate" importiert werden.

Für diese ganze Aktion gibt es ein Tool von Microsoft aus dem Resource Kit zu Windows 2003 namens certmgr, dass sich wunderbar per Skripting aufrufen lässt.

Den genauen Aufruf poste ich hier heute abend noch, hab den zurzeit nicht im Kopf.

Gruß

Andrè Döking
Ärztekammer Westfalen-Lippe

Aufruf für certmgr

Verfasst: 13. Feb 2006, 18:49
von andi20coe
Hallo!

So, hier der Aufruf für certmgr:

CALLHIDDEN "%SRC%\All\certmgr.exe" -add -c "%SRC%\All\[Zertifikat].cer" -s -r localMachine root

Mit freundlichen Grüßen

Andrè Döking
Ärztekammer Westfalen-Lippe

Verfasst: 13. Feb 2006, 18:55
von Moeki
Fein, dass werde ich morgen mal testen. Scheinbar klappt der oben genannte Weg nur bei Usern mit Admin Rechten. In der Setup Error Log steht was davon, dass er diverse Keys nicht anlegen kann.

edit:
ich verbringe schon 2 stunden damit, dieses tool zu suchen. scheinbar ist es nicht im windows 2003 server resource kit, sondern im .net sdk kit. bin gerade am downloaden.

Verfasst: 14. Feb 2006, 12:06
von Moeki
CALLHIDDEN "%SRC%\certmgr.exe" -add -c "%SRC%\viewCA.cer" -s -r localMachine root
Dieser Aufruf funktioniert leider nicht bei Systemen, an denen mehrere Benutzer arbeiten.

Zur Zeit habe ich zum Test das Paket in der Programme Gruppe und kann es für den angemeldeten User installieren. Das Zertifikat wird dann im IE angezeigt und funktioniert auch ohne Probleme.
Meldet sich ein anderer User an, wird das Paket als installiert angezeigt, das Zertifikat wird aber nicht in IE angezeigt und ist demnach nicht für den User eingebunden.

http://msdn.microsoft.com/library/deu/d ... mgrexe.asp

Was sind die Alternativen? Für mich im Moment nur, den Aufruf in ein Anmeldeskript zu packen. Da auf bestimmten Clients der Agent nur nachts zwischen 0 und 3 Uhr installieren darf, kommt die Option "immer installieren" nicht in Frage, weil sich in dieser Zeit kein User anmeldet.

Kann ich den Aufruf userspezifisch gestalten, so dass /AW funktionieren würde oder welche andere Alternative gibt es?

Gruß,
Moeki.

Verfasst: 14. Feb 2006, 15:45
von Hendrik_Ambrosius
Klar, man kann so was auch userspezifisch machen.
Ich würde dann nur die Dateien in das %APP% kopieren weil eventuell der Server nicht zur Verfügung steht wenn User offline.

--set:call-user,client
[set:call-user]
CALLHIDDEN "%app%\certmgr.exe" -add -c "%app%\viewCA.cer" -s -r localMachine root

Re: certmgr

Verfasst: 14. Feb 2006, 18:55
von andi20coe
Hallo!

Exakt den Aufruf, den ich Ihnen gepostet habe, ergänzt um unser Zertifikat, haben wir bei uns in einem Paket im Einsatz.

Für jeden User ist das Stammzertifikat zu sehen, auch wenn es nur einmal im Maschinenkontext läuft.

Mit freundlichen Grüßen

Andrè Döking
Ärztekammer Westfalen-Lippe