Перейти к содержанию

Распространение сертификатов средствами KSC


Рекомендуемые сообщения

Здравствуйте, подскажите, можно ли средствами KSC 13.2, распространить промежуточный сертификат на парк машин? Или может быть, есть какой-то другой способ, знаю, что можно через групповые политики — это сделать, но там только корневой, промежуточный нельзя. 

 

Пробовал создать инсталляционный пакет bat файла, и задачу удаленной установки программы, результат выполнения говорит, что успешно. Но сертификат не устанавливается. Где-то вычитал, что это связанно с тем, что запуск происходит от учетной записи local system, а нужно от админской учетки. Хотя указывал в свойствах задачи что выполнять задачу следует от учетной записи администратора. 

  

image.png

Ссылка на комментарий
Поделиться на другие сайты

Хм, я думал сертификат сервера хотят на KSC поставить не самоподписанный, а тут какой-то велосипед получается. 

Ссылка на комментарий
Поделиться на другие сайты

12 часов назад, sahana сказал:

Пробовал создать инсталляционный пакет bat файла, и задачу удаленной установки программы, результат выполнения говорит, что успешно. Но сертификат не устанавливается. Где-то вычитал, что это связанно с тем, что запуск происходит от учетной записи local system, а нужно от админской учетки. Хотя указывал в свойствах задачи что выполнять задачу следует от учетной записи администратора. 

Вы бы для начала показали содержимое bat-файла.  Там есть свои особенности..

Запуск этого файла всегда происходит под local system, что бы вы там не указывали.

Ссылка на комментарий
Поделиться на другие сайты

22 часа назад, oit сказал:

А какой сертификат хотите распространить?

 

Не понимаю какое, это имеет значение?

 

22 часа назад, mike 1 сказал:

Хм, я думал сертификат сервера хотят на KSC поставить не самоподписанный, а тут какой-то велосипед получается. 

 

Все верно, это сторонний сертификат, который выдается нашей головной организацией. И почему велосипед? Знаете, у нас все люди важные, занятые, чтобы даже на 5 минут попросить время поработать на компьютере, нужно чуть ли не за неделю согласовывать все. Я конечно немного преувеличиваю, но примерно, так оно и есть. И совсем не хочется более чем на 100 компьютерах это делать вручную. 

 

13 часов назад, Aragon сказал:

Вы бы для начала показали содержимое bat-файла.  Там есть свои особенности..

Запуск этого файла всегда происходит под local system, что бы вы там не указывали.

 

Обчный батничек, у себя на компьютере запускаю от имени администратора и все отрабатывает. 
Вот он: certutil -addstore CA \\путь\название.crt

Ссылка на комментарий
Поделиться на другие сайты

8 часов назад, sahana сказал:

Вот он: certutil -addstore CA \\путь\название.crt

Вот в этом проблема. 

Нужно:

1. Сертификат класть не на сетевой ресурс, в внутрь инсталляционного пакета. Из bat-файла доступа к сети нет.

2. Нужно написать путь к certutil

тогда содержимое bat будет как-то так

C:\Windows\System32\certutil.exe  CA название.crt

Ссылка на комментарий
Поделиться на другие сайты

20 часов назад, Aragon сказал:

Вот в этом проблема. 

Нужно:

1. Сертификат класть не на сетевой ресурс, в внутрь инсталляционного пакета. Из bat-файла доступа к сети нет.

2. Нужно написать путь к certutil

тогда содержимое bat будет как-то так

C:\Windows\System32\certutil.exe  CA название.crt

 

Ваш вариант не заработал, но через пробы и ошибки все таки удалось

Но пришлось скопировать сам сертификат на каждый компьютер, и только после этого все получилось. И в самой задачи указал учетку администратора. И задача распространялась с помощью Агента администрирования. 

Вот пример bat файла:

 

MD c:\temp
copy название.crt c:\temp\
C:\Windows\System32\certutil -addstore CA c:\temp\название.crt

 

Тему можно закрывать, всем спасибо за участие!!! 

 

 

Изменено пользователем sahana
Ссылка на комментарий
Поделиться на другие сайты

  • 1 год спустя...

Ответ на Ваш вопрос:

  1. Создаём папку
  2. Кладём в нее сертификат и bat-файл
  3. Содержимое bat (certutil -addstore "Root" %~dp0\cert.crt) (certutil -addstore "Куда_положить" переменная_до_места_расположения_батника\имя_сертификата.crt)
  4. Идём в KSC -> Дополнительно - Удаленная установка - Инсталляционные пакеты - кнопка [Создать инсталляционный пакет]
  5. Создать пакет для указанного исполняемого файла - Задаем имя - Выбираем дистрибутив - Выбираем нашу папку с файлами, указываем bat-файл - обязательно ставим галочку "Копировать всю папку в инсталляционный пакет".
  6. Выбираем наш созданный пакет и разливаем через "Задачу" на нужные группы/компы.
Изменено пользователем adruz
Ссылка на комментарий
Поделиться на другие сайты

04.07.2023 в 16:58, adruz сказал:

%~dp0\cert.crt

Что вернёт?

echo %~dp0\cert.crt

Вернёт:

"текущая директория", "два бэкслеша" и "cert.crt" 

Тогда из этого следует:

%~dp0cert.crt

 

Ссылка на комментарий
Поделиться на другие сайты

  • 1 месяц спустя...
06.07.2023 в 10:39, NickM сказал:

Что вернёт?



echo %~dp0\cert.crt

Вернёт:



"текущая директория", "два бэкслеша" и "cert.crt" 

Тогда из этого следует:



%~dp0cert.crt

 

 

Не вижу того, о чем Вы говорите.

image.png.a1084c0eabb2e0d60cd56cbb5b779b32.png

Изменено пользователем adruz
Ссылка на комментарий
Поделиться на другие сайты

  • 2 недели спустя...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • infobez_bez
      Автор infobez_bez
      Здравствуйте!
      В веб консоли ksc вылезло уведомление о том, что истекает доверенный сертификат 
      Нужно ли его перевыпускать/заменять или он автоматически заменится на другой после окончания срока действия?
      И еще, после смены сертификата будут ли видеть ПК сервер администрирования или их заново придется подключать?
    • Анди25
      Автор Анди25
      День добрый,
       
      Сменился сервер и имя, из бэкап восстановил, но все сертификаты естественно указывают на прежний.
      Подскажите как сертификат сменить непосредственно на Kaspersky Security Center (не для работы мобильных клиентов и web, они легко меняются через mmc)
       
      Нашел описание по утилите klsetsrvcert, но чего-то не хватает, не проходит создание.
      "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\klsetsrvcert.exe" -t C -i C:\0\klserver.cer -p testpass -o NoCA
    • SergeyOW
      Автор SergeyOW
      День добрый.
      Пытаюсь обновить KSC 14.2.0.26967 до версии 15.1.0.20748.  KSC установлена на сервере Windows Server 2022.  В качестве БД используется MS SQL 2019 c последними обновлениями. БД установлена на другом сервере.
      Дело в том, что при обновлении до версии 15.1.0.20748, а также при "чистой" установке KSC 15.1.0.20748 и последующим восстановлением из бэкапа перестает работать служба kladminserver.
      При этом служба kladminserver перестает работать после обновления KSC до версии 15.1.0.20748. В случае установки  KSC 15.1.0.20748 после удаления KSC 14.2.0.26967 служба kladminserver перестает работать после восстановления из бэкапа.
      Откатился обратно к  KSC 14.2.0.26967. Бэкап рабочий. Восстановление из бэкапа на KSC 14.2.0.26967 прошло успешно.
      Может кто сталкивался с подобной ошибкой при обновлении KSC.
    • agrohim
      Автор agrohim
      Сервер администрирования Kaspersky Security Center не запускается

    • Sandynist
      Автор Sandynist
      Добрый день! 
       
      Каждый раз при открытии Алика (https://aliexpress.ru/) такая вот картинка.
       
      Событие: Обнаружено SSL-соединение c недействительным сертификатом Тип пользователя: Не определено Имя приложения: opera.exe Путь к приложению: C:\Users\Home7\AppData\Local\Programs\Opera Компонент: Интернет-защита Описание результата: Запрещено Имя объекта: rap.skcrtxr.com Причина: Этот сертификат или один из сертификатов в цепочке устарел.  И непонятно — это что? И что с этим всем делать?

×
×
  • Создать...