Перейти к содержанию

Распространение сертификатов средствами KSC

sahana
 Share

Рекомендуемые сообщения

sahana Новичок

sahana

Опубликовано
Опубликовано

Здравствуйте, подскажите, можно ли средствами KSC 13.2, распространить промежуточный сертификат на парк машин? Или может быть, есть какой-то другой способ, знаю, что можно через групповые политики — это сделать, но там только корневой, промежуточный нельзя. 

 

Пробовал создать инсталляционный пакет bat файла, и задачу удаленной установки программы, результат выполнения говорит, что успешно. Но сертификат не устанавливается. Где-то вычитал, что это связанно с тем, что запуск происходит от учетной записи local system, а нужно от админской учетки. Хотя указывал в свойствах задачи что выполнять задачу следует от учетной записи администратора. 

  

image.png

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Хм, я думал сертификат сервера хотят на KSC поставить не самоподписанный, а тут какой-то велосипед получается. 

Ссылка на комментарий
Поделиться на другие сайты
Aragon Постоялец

Aragon

Опубликовано
Опубликовано
12 часов назад, sahana сказал:

Пробовал создать инсталляционный пакет bat файла, и задачу удаленной установки программы, результат выполнения говорит, что успешно. Но сертификат не устанавливается. Где-то вычитал, что это связанно с тем, что запуск происходит от учетной записи local system, а нужно от админской учетки. Хотя указывал в свойствах задачи что выполнять задачу следует от учетной записи администратора. 

Вы бы для начала показали содержимое bat-файла.  Там есть свои особенности..

Запуск этого файла всегда происходит под local system, что бы вы там не указывали.

Ссылка на комментарий
Поделиться на другие сайты
sahana Новичок

sahana

Опубликовано
  • Автор
Опубликовано
22 часа назад, oit сказал:

А какой сертификат хотите распространить?

 

Не понимаю какое, это имеет значение?

 

22 часа назад, mike 1 сказал:

Хм, я думал сертификат сервера хотят на KSC поставить не самоподписанный, а тут какой-то велосипед получается. 

 

Все верно, это сторонний сертификат, который выдается нашей головной организацией. И почему велосипед? Знаете, у нас все люди важные, занятые, чтобы даже на 5 минут попросить время поработать на компьютере, нужно чуть ли не за неделю согласовывать все. Я конечно немного преувеличиваю, но примерно, так оно и есть. И совсем не хочется более чем на 100 компьютерах это делать вручную. 

 

13 часов назад, Aragon сказал:

Вы бы для начала показали содержимое bat-файла.  Там есть свои особенности..

Запуск этого файла всегда происходит под local system, что бы вы там не указывали.

 

Обчный батничек, у себя на компьютере запускаю от имени администратора и все отрабатывает. 
Вот он: certutil -addstore CA \\путь\название.crt

Ссылка на комментарий
Поделиться на другие сайты
Aragon Постоялец

Aragon

Опубликовано
Опубликовано
8 часов назад, sahana сказал:

Вот он: certutil -addstore CA \\путь\название.crt

Вот в этом проблема. 

Нужно:

1. Сертификат класть не на сетевой ресурс, в внутрь инсталляционного пакета. Из bat-файла доступа к сети нет.

2. Нужно написать путь к certutil

тогда содержимое bat будет как-то так

C:\Windows\System32\certutil.exe  CA название.crt

Ссылка на комментарий
Поделиться на другие сайты
sahana Новичок

sahana

Опубликовано
  • Автор
Опубликовано (изменено)
20 часов назад, Aragon сказал:

Вот в этом проблема. 

Нужно:

1. Сертификат класть не на сетевой ресурс, в внутрь инсталляционного пакета. Из bat-файла доступа к сети нет.

2. Нужно написать путь к certutil

тогда содержимое bat будет как-то так

C:\Windows\System32\certutil.exe  CA название.crt

 

Ваш вариант не заработал, но через пробы и ошибки все таки удалось

Но пришлось скопировать сам сертификат на каждый компьютер, и только после этого все получилось. И в самой задачи указал учетку администратора. И задача распространялась с помощью Агента администрирования. 

Вот пример bat файла:

 

MD c:\temp
copy название.crt c:\temp\
C:\Windows\System32\certutil -addstore CA c:\temp\название.crt

 

Тему можно закрывать, всем спасибо за участие!!! 

 

 

Изменено пользователем sahana
Ссылка на комментарий
Поделиться на другие сайты
  • 1 year later...
adruz Новичок

adruz

Опубликовано
Опубликовано (изменено)

Ответ на Ваш вопрос:

  1. Создаём папку
  2. Кладём в нее сертификат и bat-файл
  3. Содержимое bat (certutil -addstore "Root" %~dp0\cert.crt) (certutil -addstore "Куда_положить" переменная_до_места_расположения_батника\имя_сертификата.crt)
  4. Идём в KSC -> Дополнительно - Удаленная установка - Инсталляционные пакеты - кнопка [Создать инсталляционный пакет]
  5. Создать пакет для указанного исполняемого файла - Задаем имя - Выбираем дистрибутив - Выбираем нашу папку с файлами, указываем bat-файл - обязательно ставим галочку "Копировать всю папку в инсталляционный пакет".
  6. Выбираем наш созданный пакет и разливаем через "Задачу" на нужные группы/компы.
Изменено пользователем adruz
Ссылка на комментарий
Поделиться на другие сайты
NickM Постоялец

NickM

Опубликовано
Опубликовано
04.07.2023 в 16:58, adruz сказал:

%~dp0\cert.crt

Что вернёт? 

echo %~dp0\cert.crt

Вернёт: 

"текущая директория", "два бэкслеша" и "cert.crt"

Тогда из этого следует: 

%~dp0cert.crt

 

Ссылка на комментарий
Поделиться на другие сайты
  • 1 month later...
adruz Новичок

adruz

Опубликовано
Опубликовано (изменено)
06.07.2023 в 10:39, NickM сказал:

Что вернёт? 



echo %~dp0\cert.crt

Вернёт: 



"текущая директория", "два бэкслеша" и "cert.crt"

Тогда из этого следует: 



%~dp0cert.crt

 

 

Не вижу того, о чем Вы говорите.

image.png.a1084c0eabb2e0d60cd56cbb5b779b32.png

Изменено пользователем adruz
Ссылка на комментарий
Поделиться на другие сайты
  • 2 weeks later...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • cringemachine
      Распространение bat-файла на рабочие станции
      От cringemachine
      Коллеги, добрый день.
       
      Есть bat-файл, который создает на сетевом диске директорию и в нее копирует (должен копировать) журнал Безопасность – нужны админские права. 
      Также, в качестве теста в него добавлена строка для копирования текстового файла (txt) в созданную директорию – не нужны админские права.
       
        mkdir \\192.168.0.5\temp\KasperskyEventLog\%computername%   copy %SystemRoot%\System32\Winevt\Logs\"Kaspersky Event Log.evtx" \\192.168.0.5\temp\KasperskyEventLog\%computername%\"Kaspersky Event Log.evtx"   copy C:\Users\testuser\Desktop\1.txt \\192.168.0.5\temp\KasperskyEventLog\%computername%\1.txt  
      При запуске скрипта локально с указанием админской УЗ скрипт отрабатывает корректно и оба файла (Журнал Безопасность и текстовый файл) копируются на сетевой диск.
       
      При распространении скрипта посредством KSC через задачу Удаленная установка программы копируется только текстовый файл, т.е. прав не хватает.
      Попробовал разные сценарии – С помощью Агента администрирования (с указанием админской УЗ), Средствами операционной системы с помощью Сервера администрирования (с указанием админской УЗ).
      Результат один – копируется только текстовый файл.
       
      Может быть кто-то владеет опытом распространения bat-файла для исполнения которого требуются админские прав.
    • mamruc
      Ошибка при запуске KSC 14
      От mamruc
      Здравствуйте!
      Физически помер сервер с установленным KSC14, есть бекап сервера. На новом сервере устанавливал  KSC с новой базой, при подключении через Веб морду ничего не отображает, через MMC пишет:
      «Операция не может быть выполнена, так как программа инициализируется или деинициализируется»
      Такой статус еже несколько часов.
    • Совух белобокий
      Как удалить ключ KES в KSC?
      От Совух белобокий
      Добрый день, господа!
      Имеем развёрнутый Kaspersky Security Center 14.2.20222 на Windows Server 2016, лицензионный ключ для продукта "Kaspersky Endpoint Security для бизнеса – Стандартный Russian Edition. 25-49 Node 1 year Renewal Download Licence - Лицензия" на 27 ПК, но почему-то на последний добавленный ПК не "прилетает" лиц. ключ, может быть потому, что все 27 лицензии уже использованы? Как тогда удалить ключ с одного из ПК (или это нужно делать с удалением самого KES на этом ПК?) чтобы освободилась лицензия для последнего ПК?
      Заранее благодарю за ответы!
    • Kirillizator
      Подключение kesl 12.1 к серверу KSC
      От Kirillizator
      Добрый день коллеги,
       
      Есть необходимость установить антивирус на сервере, ОС Астра Линукс. Установил klnagent 15.1, указал ему сервер KSC. Установил kesl и gui к нему. На сервере астра появилась, в группу распределили, но статус защиты "отключен".
      На астре необходимые службы работают исправно. В gui указано "список запрещенных ключей поврежден". Ни одной задачи на астру подать не удалось. У все одна причина отказа выполнения.
      Как ее включить на клиенте, если дело действительно в том?
      Подскажите пожалуйста если кто сталкивался. Заказчик уже начинает гневаться.
       
       





    • kerzak
      Как удалить все версии 1с через ksc?
      От kerzak
      Здравствуйте, как удалить все эти версии разом, а не создавать задачу на каждую версию? 

×
×
  • Создать...