none
Распространение личных сертификатов для пользователя через GPO. RRS feed

  • Вопрос

  • Доброго дня коллеги.Стоит задача распространить персонифицированные сертификаты на пользователя.То есть если смотреть через оснастку mmc-сертификаты-сертификаты для пользователя-личные.

    Вопрос:

    Можно ли импортировать личные сертификаты для пользователя в хранилище для личных сертификатов через GPO, особенно это актуально, когда есть несколько пользователей и у каждого персонифицированный сертификат ? Открытые ключи выданы естественно сторонними УЦ для специфического софта.

    Спасибо!


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    26 июля 2016 г. 9:15

Ответы

  • дык скрипт прикрутите к политикам и импортируйте сколько влезет
    • Помечено в качестве ответа rеstless 26 июля 2016 г. 19:00
    26 июля 2016 г. 9:24
  • Это вряд ли: сертификаты эти должны устанваливаться вместе с закрытым ключом, а прописывать его в политике - большая дыра в безопасности.


    Слава России!

    • Помечено в качестве ответа rеstless 26 июля 2016 г. 19:00
    26 июля 2016 г. 13:29

Все ответы

  • дык скрипт прикрутите к политикам и импортируйте сколько влезет
    • Помечено в качестве ответа rеstless 26 июля 2016 г. 19:00
    26 июля 2016 г. 9:24
  • дык скрипт прикрутите к политикам и импортируйте сколько влезет
    Скрипт понятно, я имел в виду именно через GPO в личку.

    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    26 июля 2016 г. 13:18
  • Это вряд ли: сертификаты эти должны устанваливаться вместе с закрытым ключом, а прописывать его в политике - большая дыра в безопасности.


    Слава России!

    • Помечено в качестве ответа rеstless 26 июля 2016 г. 19:00
    26 июля 2016 г. 13:29
  • Это вряд ли: сертификаты эти должны устанваливаться вместе с закрытым ключом, а прописывать его в политике - большая дыра в безопасности.


    Слава России!

    Да собственно говоря вы правы, тогда сделаю примерно так (Илье Сазонову спасибо):
    function Import-PfxCertificate {
    param([String]$certPath,[String]$certRootStore = "CurrentUser",[String]$certStore = "My",$pfxPass = (ConvertTo-SecureString -String "7Gg2Vq4Hd" -Force -AsPlainText))</pre>
    $pfx = new-object System.Security.Cryptography.X509Certificates.X509Certificate2
     
    #if ($pfxPass -eq $null) {$pfxPass = read-host "Enter the pfx password" -assecurestring}
     
    $pfx.import($certPath,$pfxPass,"Exportable,PersistKeySet")
     
    $store = new-object System.Security.Cryptography.X509Certificates.X509Store($certStore,$certRootStore)
    $store.open("MaxAllowed")
    $store.add($pfx)
    $store.close()
    }
    Import-PfxCertificate "$((Get-Location).Path)\cert.pfx"
    Ну а далее прикручу уже через GPO по фильтрации на группы пользователей для определенных сертов..

    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!


    • Изменено rеstless 26 июля 2016 г. 18:53
    26 июля 2016 г. 18:50
  • А сюда смотрели? - https://technet.microsoft.com/ru-ru/library/cc754877(v=ws.11).aspx

    "Перемещение учетных данных" должно работать вне зависимости от того, каким ЦС выдавались сертификаты, установленные у пользователя.


    S.A.

    26 июля 2016 г. 20:39