Installation von IE Zertifikat "kbsc.p7b"

mfisahn
Beiträge: 10
Registriert: 04. Jul 2005, 12:01
Wohnort: Detmold
Kontaktdaten:

Installation von IE Zertifikat "kbsc.p7b"

Beitrag von mfisahn » 04. Jul 2005, 12:37

Hallo,
ich installiere dieses Zertifikat mit folgendem Aufruf:

C:\winxp\system32\rundll32.exe C:\winxp\system32\cryptext.dll,CryptExtAddCER C:\winxp\system32\kbsc.p7b

Generell funktioniert das, ich kann aber nicht in folgenden Key schreiben:
HKCU,"Software\Microsoft\SystemCertificates\Root\ProtectedRoots"

Es kommt ein Fenster:
"Ungültige "Öffentlicher-Schlüssel"-Sicherheitsobjektdatei"
mit der Meldung:
"Diese Datei ist für folgende Verwendung ungültig: Sicherheitszertifikat".

Wie bekomme ich das Zertifikat nun in den IE?

Gruß
Michael Fisahn

jbeimel
Moderator
Moderator
Beiträge: 642
Registriert: 15. Dez 2004, 09:16
Kontaktdaten:

Beitrag von jbeimel » 04. Jul 2005, 13:11

Ich gehe davon aus, dass es nichtmal klappt, wenn der Aufruf OHNE setup.inf einfach über Start->Ausführen unter einem Admin-Account ausgeführt wird: Auch ein User darf nicht überall in HKCU schreiben.
Wie bekomme ich das Zertifikat nun in den IE?
Mit dem IEAK, da gibt es m.E. eine Möglichkeit, Zertifikate mit einzubinden.
Jens Beimel
Principal Consultant


Matrix42 AG
info@matrix42.de
http://www.matrix42.de

Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of Matrix42 AG.

mfisahn
Beiträge: 10
Registriert: 04. Jul 2005, 12:01
Wohnort: Detmold
Kontaktdaten:

Beitrag von mfisahn » 05. Jul 2005, 07:22

Es klappt mit lokalen Admin-Rechten, wenn man im IE unter "Inhalte->Zertifikate>Importieren" auswählt. Die kritische Registerkarte ist hier "Vertrauenswürdige Stammzertifizierungsstellen" - über diesen Weg funktioniert es, ich finde aber keine Möglichkeit das mit Empirum-Mitteln umzusetzen.
Hat jemand einen Ansatz?

Gruß
Michael Fisahn

Marc Reissmann
Beiträge: 29
Registriert: 14. Dez 2004, 11:21
Kontaktdaten:

Beitrag von Marc Reissmann » 08. Jul 2005, 16:38

Hallo so funktioniert es !!

Das Zertifikat als vertrauenswürdiges Stammzertifikat importieren....

Dann Diff machen und auf diesen Regkey achten.

HKLM,"SOFTWARE\Microsoft\SystemCertificates\CA\Certificates\

Gruß Marc

mfisahn
Beiträge: 10
Registriert: 04. Jul 2005, 12:01
Wohnort: Detmold
Kontaktdaten:

Beitrag von mfisahn » 11. Jul 2005, 09:59

Hallo,
Das funktioniert nur bedingt - das entsprechende Zertifikat wird mit dem angesprochenen Key unter "Zwischenzertifizierungsstellen" geschrieben - das klappt.
Was aber scheitert ist der entsprechende Eintrag in die "Vertrauenswürdige Stammzertifizierungsstellen" - das ist der o.g. Key unter HKEY_CURRENT_USER, "Software\Microsoft\SystemCertificates\Root\ProtectedRoots".
Hat das bei Ihnen funktioniert?

Gruß
Michael Fisahn

Marc Reissmann
Beiträge: 29
Registriert: 14. Dez 2004, 11:21
Kontaktdaten:

Zertifikat

Beitrag von Marc Reissmann » 11. Jul 2005, 10:24

Hallo bei uns hat es so funktioniert !!!!

Rechte Maustaste Zertifikat installieren -> nicht automatisch ->

Zertifikatsspeicher mauell wählen ... Häkchen Physikalischer Speicher anzeigen .... dann Vertrauenswürdige Stammzertifizierungsstellen -> Lokaler Computer wählen dann funtzt es.

Wie schon gesagt Diff machen und dann sollte unter dem genannten Schlüssel ein neuer KEY befinden.

Gruß Marc

jbeimel
Moderator
Moderator
Beiträge: 642
Registriert: 15. Dez 2004, 09:16
Kontaktdaten:

Beitrag von jbeimel » 12. Jul 2005, 16:42

Verfolge den Thread mit Interesse, glaube aber dass hier aneinander vorbeigeredet wird ;-) (HKCU und HKLM)
Den betreffenden Reg-Key mit dem PackageWizard aufzuzeichnen ist nicht das Problem, denn LESE-Rechte sind da drauf gegeben. Das Problem ist die Verteilung mit setup.inf, denn nur System hat auf den Reg-Key SCHREIB-Rechte.
Aber vieleicht hilft das ja weiter:
http://msdn.microsoft.com/library/defau ... ertmgr.asp
http://www.microsoft.com/downloads/deta ... laylang=en
Jens Beimel
Principal Consultant


Matrix42 AG
info@matrix42.de
http://www.matrix42.de

Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of Matrix42 AG.

mfisahn
Beiträge: 10
Registriert: 04. Jul 2005, 12:01
Wohnort: Detmold
Kontaktdaten:

...und läuft

Beitrag von mfisahn » 13. Jul 2005, 11:45

So, zunächst einmal: beide Wege führen zum Erfolg.
Allerdings benötigt man für die von jbeimel vorgeschlagene Lösung Admin-Rechte, was bei der Lösung von Marc Reissmann nicht erforderlich ist.
Danke an alle Beteiligten!

Gruß
Michael

Moeki
Beiträge: 212
Registriert: 06. Feb 2006, 14:22
Kontaktdaten:

Re: Zertifikat

Beitrag von Moeki » 13. Feb 2006, 13:48

Marc Reissmann hat geschrieben:Hallo bei uns hat es so funktioniert !!!!

Rechte Maustaste Zertifikat installieren -> nicht automatisch ->

Zertifikatsspeicher mauell wählen ... Häkchen Physikalischer Speicher anzeigen .... dann Vertrauenswürdige Stammzertifizierungsstellen -> Lokaler Computer wählen dann funtzt es.

Wie schon gesagt Diff machen und dann sollte unter dem genannten Schlüssel ein neuer KEY befinden.

Gruß Marc
Über diesen Weg haben wir ein Webwasher Zertifikat eingebunden und per Empirum zur Sicherheit /AW verteilt. Gibt es denn keine andere, komfortablere Möglichkeit, Zertifikate einzubinden? Die Diff Methode mit den vielen Regkeys finde ich ziemlich unübersichtlich und schlecht nachvollziehbar.

Gruß,
Moeki.

andi20coe
Beiträge: 322
Registriert: 27. Feb 2005, 15:23
Wohnort: Rosendahl
Kontaktdaten:

Zertifikate korrekt einbinden

Beitrag von andi20coe » 13. Feb 2006, 18:33

Hallo!

Genau vor diesem Problem standen wir bei uns vor ca. nem halben Jahr.

Bei uns musste ein Zertifikat "Ärztekammer Westfalen-Lippe.cer" unter "Vertrauenswürdige Stammzertifikate" importiert werden.

Für diese ganze Aktion gibt es ein Tool von Microsoft aus dem Resource Kit zu Windows 2003 namens certmgr, dass sich wunderbar per Skripting aufrufen lässt.

Den genauen Aufruf poste ich hier heute abend noch, hab den zurzeit nicht im Kopf.

Gruß

Andrè Döking
Ärztekammer Westfalen-Lippe

andi20coe
Beiträge: 322
Registriert: 27. Feb 2005, 15:23
Wohnort: Rosendahl
Kontaktdaten:

Aufruf für certmgr

Beitrag von andi20coe » 13. Feb 2006, 18:49

Hallo!

So, hier der Aufruf für certmgr:

CALLHIDDEN "%SRC%\All\certmgr.exe" -add -c "%SRC%\All\[Zertifikat].cer" -s -r localMachine root

Mit freundlichen Grüßen

Andrè Döking
Ärztekammer Westfalen-Lippe

Moeki
Beiträge: 212
Registriert: 06. Feb 2006, 14:22
Kontaktdaten:

Beitrag von Moeki » 13. Feb 2006, 18:55

Fein, dass werde ich morgen mal testen. Scheinbar klappt der oben genannte Weg nur bei Usern mit Admin Rechten. In der Setup Error Log steht was davon, dass er diverse Keys nicht anlegen kann.

edit:
ich verbringe schon 2 stunden damit, dieses tool zu suchen. scheinbar ist es nicht im windows 2003 server resource kit, sondern im .net sdk kit. bin gerade am downloaden.

Moeki
Beiträge: 212
Registriert: 06. Feb 2006, 14:22
Kontaktdaten:

Beitrag von Moeki » 14. Feb 2006, 12:06

CALLHIDDEN "%SRC%\certmgr.exe" -add -c "%SRC%\viewCA.cer" -s -r localMachine root
Dieser Aufruf funktioniert leider nicht bei Systemen, an denen mehrere Benutzer arbeiten.

Zur Zeit habe ich zum Test das Paket in der Programme Gruppe und kann es für den angemeldeten User installieren. Das Zertifikat wird dann im IE angezeigt und funktioniert auch ohne Probleme.
Meldet sich ein anderer User an, wird das Paket als installiert angezeigt, das Zertifikat wird aber nicht in IE angezeigt und ist demnach nicht für den User eingebunden.

http://msdn.microsoft.com/library/deu/d ... mgrexe.asp

Was sind die Alternativen? Für mich im Moment nur, den Aufruf in ein Anmeldeskript zu packen. Da auf bestimmten Clients der Agent nur nachts zwischen 0 und 3 Uhr installieren darf, kommt die Option "immer installieren" nicht in Frage, weil sich in dieser Zeit kein User anmeldet.

Kann ich den Aufruf userspezifisch gestalten, so dass /AW funktionieren würde oder welche andere Alternative gibt es?

Gruß,
Moeki.

Benutzeravatar
Hendrik_Ambrosius
Moderator
Moderator
Beiträge: 7434
Registriert: 13. Dez 2004, 23:10
Wohnort: Adendorf/Lüneburg

Beitrag von Hendrik_Ambrosius » 14. Feb 2006, 15:45

Klar, man kann so was auch userspezifisch machen.
Ich würde dann nur die Dateien in das %APP% kopieren weil eventuell der Server nicht zur Verfügung steht wenn User offline.

--set:call-user,client
[set:call-user]
CALLHIDDEN "%app%\certmgr.exe" -add -c "%app%\viewCA.cer" -s -r localMachine root
Hendrik Ambrosius / Senior Consultant
Mobile: +49 172 408 4447 | hendrik.ambrosius@matrix42.com
Matrix42 AG | Elbinger Straße 7 | 60487 Frankfurt am Main | Germany | www.matrix42.com

Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of Matrix42 AG or of the support team.

andi20coe
Beiträge: 322
Registriert: 27. Feb 2005, 15:23
Wohnort: Rosendahl
Kontaktdaten:

Re: certmgr

Beitrag von andi20coe » 14. Feb 2006, 18:55

Hallo!

Exakt den Aufruf, den ich Ihnen gepostet habe, ergänzt um unser Zertifikat, haben wir bei uns in einem Paket im Einsatz.

Für jeden User ist das Stammzertifikat zu sehen, auch wenn es nur einmal im Maschinenkontext läuft.

Mit freundlichen Grüßen

Andrè Döking
Ärztekammer Westfalen-Lippe

Antworten

Zurück zu „Paketierung“

Wer ist online?

Mitglieder in diesem Forum: Google [Bot] und 7 Gäste