none
Odebráni certifikátu z IE pomocí scriptu?

    Dotaz

  • Dobrý den. Mám další dotaz ohledně certifikátu v IE 7,8 certmgr.msc - osobní. Rád bych u uživatelů vymazal všechny certifikáty co již nejsou ptalné, aby je již při dalším přihlášení do webové aplikace neotravovali.

    cesta v IE = Nástroje - Možnosti internetu - Obsah - Certifikáty - Osobní!!! A certifikáty co mají prošlé aby se smazaly pomocí scriptem!

    Pokoušeli jste se to někdo nebo již máte? Mně se zatím nepodařilo certifikáty vzdáleně odmazat. Děkuji 

    úterý 27. září 2011 13:24

Odpovědi

  • Nechápu pořád ty tvoje vykřičníky...

    No tak když už teď víš jak si vypsat ty certifikáty, tak není zas takový problém si zjistit jestli je platný, nebo ne.

    aby sis to ulehčil tak si zadáš:

    certutil -store -user My 0
    

    Pak si zjistíš jestli je platný, pokud jo, tak půjdeš dál na

    certutil -store -user My 1
    
    pokud zjistíš, že je třeba neplatný tak si vyparsuješ hash, odstraniš mezery, uložíš do proměnné, a pak to na konci krásně všechno smažeš...

     

    středa 28. září 2011 21:19

Všechny reakce

  • A zkoušel jsi utilitu Certutil (do přikazového řádku..

    má spoustu voleb (teda aspoň v osmičkách..) tak v XP by také nemusela být úplně bezzubá:)

    http://technet.microsoft.com/cs-cz/library/cc773087(WS.10).aspx

    skoro bych tipnul...

    Úlohy příkazu certutil při správě certifikátů

    úterý 27. září 2011 13:27
  • Certutil v XP defaultne neni!!!

    Viz http://support.microsoft.com/kb/934576/en-us?spid=12925&sid=1569

    Je treba stahnout admin pack pro W2003 server a z nej utilitu vzit.

    úterý 27. září 2011 14:03
  • Děkuji právě s tím jsem vycházel, ale bohužel stále neúspěšně!
    úterý 27. září 2011 14:04
  • No tak aspoň napiš co jsi zkoušel...chce to více informací ;)

    To MT: to jsem netušil...:)

    úterý 27. září 2011 14:05
  • Tak ještě jednou. Zkoušel jsme odebrat po přihlášení uživatele starčí certifikáty z uložiště (osobní ) pomocí scriptu a ten byl takto:

    Jedná se jak o stanice Windows XP (SP3) tak o stanice Windows 7 (SP1).

    použil jsme již výše zmiňovanou utilitku certutil.exe!

     

    @echo off

    echo "Odstranění neplatných certifikátů z uložiště IE"

    SET expirationDate=25.9.2011

    SET expiredlist=%temp%\expired.txt

    CERTUTIL -view -restrict "notafter<=%expirationDate%, disposition = 20" -out "serial number" |     findstr "Serial" > "%expiredlist%"

    FOR /F "tokens=3 delims= " %%j IN (%expiredlist%) DO ( CERTUTIL -revoke %%j )

    :END

     

    A po provedení mi to certifikáty z uložitě (osobní) neodmaže.

     

    úterý 27. září 2011 15:55
  • A testoval jsi vůbec ten příkaz?

    Vždyť jenom dole ten příkaz revoke certifikáty odvolává a nemaže.

    Kdyby ses podíval do toho odkazu, tak tam přímo mají i odstavec zabývající se mazáním certifikátů.

    http://technet.microsoft.com/cs-cz/library/cc772898(WS.10).aspx#BKMK_del_cert_cur_user

    Potřebuješ tam vůbec nějaké certifikáty zachovávat? Nebo se ty certifikáty mají smazat všechny? To jsou jen nějaké "jednorázové" certifikáty vystavované na pár dní..?

     

    Příkazem

    certutil -store -user My
    

    si zobrazíš všechny certifikáty v úložišti aktuálního uživatele. Pak by z toho neměl být problém vyparsovat HASH a pak pomocí příkazu

    certutil -delstore -user My 1d0a881c69fbc1d28
    

    smazat certifikát s určitým hashem (hash musí být bez mezer - tohle je asi půlka - normálně je mnohem delší..)

    středa 28. září 2011 19:53
  • Jj sledoval jsme to co je tam napsáno a koumal mazání certifikátu. Mají se smazat jenom nějaké certifikáty (prošlé)!

    Omlouvám se, ale tento script vložený jsem vložil omylem jak jsem zkoušel různé scripty místo na odstranění jsem vložil na revokaci.

     

    středa 28. září 2011 21:15
  • Nechápu pořád ty tvoje vykřičníky...

    No tak když už teď víš jak si vypsat ty certifikáty, tak není zas takový problém si zjistit jestli je platný, nebo ne.

    aby sis to ulehčil tak si zadáš:

    certutil -store -user My 0
    

    Pak si zjistíš jestli je platný, pokud jo, tak půjdeš dál na

    certutil -store -user My 1
    
    pokud zjistíš, že je třeba neplatný tak si vyparsuješ hash, odstraniš mezery, uložíš do proměnné, a pak to na konci krásně všechno smažeš...

     

    středa 28. září 2011 21:19
  • Děkuji za vše. Certifikáty si zjistím a dokonce i odmažu, ale stále nevím jak docílit toho, aby když se uživatel přihlásí na PC stanici pustí se logon script který smaže všechny již neplatné certifikáty.

    středa 28. září 2011 21:41
  • Mam to chapat tak, ze se nevi, jak spusit logon script obecne?

    Nebo je problem, ze pripravena davka se v logonscriptu sice spusti, ale neudela co ma?

    pátek 30. září 2011 11:18
  • Za "B" je správně. Dávka neudělá co má! Je špatně napsaná.

    pátek 30. září 2011 13:42
  • Z vas to leze, jak z chlupaty deky :(

    Tzn. mate davku, ktera funguje kdyz si ji spustite v CMD a nefunguje v logon scriptu? Rozepiste se, safra.

    Piste vice, jinak se upinkame. Jednovetne/jednoslovne odpovedi na dotaz vetsinou  nestaci.

     


    pátek 30. září 2011 14:01