Распространение сертификатов средствами KSC

28 февраля, 2022

Здравствуйте, подскажите, можно ли средствами KSC 13.2, распространить промежуточный сертификат на парк машин? Или может быть, есть какой-то другой способ, знаю, что можно через групповые политики — это сделать, но там только корневой, промежуточный нельзя.

Пробовал создать инсталляционный пакет bat файла, и задачу удаленной установки программы, результат выполнения говорит, что успешно. Но сертификат не устанавливается. Где-то вычитал, что это связанно с тем, что запуск происходит от учетной записи local system, а нужно от админской учетки. Хотя указывал в свойствах задачи что выполнять задачу следует от учетной записи администратора.

28 февраля, 2022

А какой сертификат хотите распространить?

28 февраля, 2022

Хм, я думал сертификат сервера хотят на KSC поставить не самоподписанный, а тут какой-то велосипед получается.

28 февраля, 2022

12 часов назад, sahana сказал:

Пробовал создать инсталляционный пакет bat файла, и задачу удаленной установки программы, результат выполнения говорит, что успешно. Но сертификат не устанавливается. Где-то вычитал, что это связанно с тем, что запуск происходит от учетной записи local system, а нужно от админской учетки. Хотя указывал в свойствах задачи что выполнять задачу следует от учетной записи администратора.

Вы бы для начала показали содержимое bat-файла. Там есть свои особенности..

Запуск этого файла всегда происходит под local system, что бы вы там не указывали.

1 марта, 2022

22 часа назад, oit сказал:

А какой сертификат хотите распространить?

Не понимаю какое, это имеет значение?

22 часа назад, mike 1 сказал:

Хм, я думал сертификат сервера хотят на KSC поставить не самоподписанный, а тут какой-то велосипед получается.

Все верно, это сторонний сертификат, который выдается нашей головной организацией. И почему велосипед? Знаете, у нас все люди важные, занятые, чтобы даже на 5 минут попросить время поработать на компьютере, нужно чуть ли не за неделю согласовывать все. Я конечно немного преувеличиваю, но примерно, так оно и есть. И совсем не хочется более чем на 100 компьютерах это делать вручную.

13 часов назад, Aragon сказал:

Вы бы для начала показали содержимое bat-файла. Там есть свои особенности..

Запуск этого файла всегда происходит под local system, что бы вы там не указывали.

Обчный батничек, у себя на компьютере запускаю от имени администратора и все отрабатывает.
Вот он: certutil -addstore CA \\путь\название.crt

1 марта, 2022

8 часов назад, sahana сказал:

Вот он: certutil -addstore CA \\путь\название.crt

Вот в этом проблема.

Нужно:

1. Сертификат класть не на сетевой ресурс, в внутрь инсталляционного пакета. Из bat-файла доступа к сети нет.

2. Нужно написать путь к certutil

тогда содержимое bat будет как-то так

C:\Windows\System32\certutil.exe CA название.crt

2 марта, 2022

20 часов назад, Aragon сказал:

Вот в этом проблема.

Нужно:

1. Сертификат класть не на сетевой ресурс, в внутрь инсталляционного пакета. Из bat-файла доступа к сети нет.

2. Нужно написать путь к certutil

тогда содержимое bat будет как-то так

C:\Windows\System32\certutil.exe CA название.crt

Ваш вариант не заработал, но через пробы и ошибки все таки удалось

Но пришлось скопировать сам сертификат на каждый компьютер, и только после этого все получилось. И в самой задачи указал учетку администратора. И задача распространялась с помощью Агента администрирования.

Вот пример bat файла:

MD c:\temp
copy название.crt c:\temp\
C:\Windows\System32\certutil -addstore CA c:\temp\название.crt

Тему можно закрывать, всем спасибо за участие!!!

Изменено 2 марта, 2022 пользователем sahana

4 июля, 2023

Ответ на Ваш вопрос:

Создаём папку
Кладём в нее сертификат и bat-файл
Содержимое bat (certutil -addstore "Root" %~dp0\cert.crt) (certutil -addstore "Куда_положить" переменная_до_места_расположения_батника\имя_сертификата.crt)
Идём в KSC -> Дополнительно - Удаленная установка - Инсталляционные пакеты - кнопка [Создать инсталляционный пакет]
Создать пакет для указанного исполняемого файла - Задаем имя - Выбираем дистрибутив - Выбираем нашу папку с файлами, указываем bat-файл - обязательно ставим галочку "Копировать всю папку в инсталляционный пакет".
Выбираем наш созданный пакет и разливаем через "Задачу" на нужные группы/компы.

Изменено 4 июля, 2023 пользователем adruz

6 июля, 2023

04.07.2023 в 16:58, adruz сказал:

%~dp0\cert.crt

Что вернёт?

echo %~dp0\cert.crt

Вернёт:

"текущая директория", "два бэкслеша" и "cert.crt"

Тогда из этого следует:

%~dp0cert.crt

6 августа, 2023

06.07.2023 в 10:39, NickM сказал:
Что вернёт?
echo %~dp0\cert.crt
Вернёт:
"текущая директория", "два бэкслеша" и "cert.crt" 
Тогда из этого следует:
%~dp0cert.crt

Не вижу того, о чем Вы говорите.

Изменено 6 августа, 2023 пользователем adruz

18 августа, 2023

06.08.2023 в 16:57, adruz сказал:

Не вижу того, о чем Вы говорите.

Так ведь вызывать из самого сценария, а не выполнять в командой строке.

Распространение сертификатов средствами KSC

Рекомендуемые сообщения

sahana

oit

mike 1

Aragon

sahana

Aragon

sahana

adruz

NickM

adruz

NickM

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum