Распространение сертификатов средствами KSC

[sahana]

Здравствуйте, подскажите, можно ли средствами KSC 13.2, распространить промежуточный сертификат на парк машин? Или может быть, есть какой-то другой способ, знаю, что можно через групповые политики — это сделать, но там только корневой, промежуточный нельзя. 

 

Пробовал создать инсталляционный пакет bat файла, и задачу удаленной установки программы, результат выполнения говорит, что успешно. Но сертификат не устанавливается. Где-то вычитал, что это связанно с тем, что запуск происходит от учетной записи local system, а нужно от админской учетки. Хотя указывал в свойствах задачи что выполнять задачу следует от учетной записи администратора. 

  

[oit]

А какой сертификат хотите распространить?

[mike 1]

Хм, я думал сертификат сервера хотят на KSC поставить не самоподписанный, а тут какой-то велосипед получается. 

[Aragon]

12 часов назад, sahana сказал:

Пробовал создать инсталляционный пакет bat файла, и задачу удаленной установки программы, результат выполнения говорит, что успешно. Но сертификат не устанавливается. Где-то вычитал, что это связанно с тем, что запуск происходит от учетной записи local system, а нужно от админской учетки. Хотя указывал в свойствах задачи что выполнять задачу следует от учетной записи администратора. 

Вы бы для начала показали содержимое bat-файла.  Там есть свои особенности..

Запуск этого файла всегда происходит под local system, что бы вы там не указывали.

[sahana]

22 часа назад, oit сказал:

А какой сертификат хотите распространить?

 

Не понимаю какое, это имеет значение?

 

22 часа назад, mike 1 сказал:

Хм, я думал сертификат сервера хотят на KSC поставить не самоподписанный, а тут какой-то велосипед получается. 

 

Все верно, это сторонний сертификат, который выдается нашей головной организацией. И почему велосипед? Знаете, у нас все люди важные, занятые, чтобы даже на 5 минут попросить время поработать на компьютере, нужно чуть ли не за неделю согласовывать все. Я конечно немного преувеличиваю, но примерно, так оно и есть. И совсем не хочется более чем на 100 компьютерах это делать вручную. 

 

13 часов назад, Aragon сказал:

Вы бы для начала показали содержимое bat-файла.  Там есть свои особенности..

Запуск этого файла всегда происходит под local system, что бы вы там не указывали.

 

Обчный батничек, у себя на компьютере запускаю от имени администратора и все отрабатывает. 
Вот он: certutil -addstore CA \\путь\название.crt

[Aragon]

8 часов назад, sahana сказал:

Вот он: certutil -addstore CA \\путь\название.crt

Вот в этом проблема. 

Нужно:

1. Сертификат класть не на сетевой ресурс, в внутрь инсталляционного пакета. Из bat-файла доступа к сети нет.

2. Нужно написать путь к certutil

тогда содержимое bat будет как-то так

C:\Windows\System32\certutil.exe  CA название.crt

[sahana]

20 часов назад, Aragon сказал:

Вот в этом проблема. 

Нужно:

1. Сертификат класть не на сетевой ресурс, в внутрь инсталляционного пакета. Из bat-файла доступа к сети нет.

2. Нужно написать путь к certutil

тогда содержимое bat будет как-то так

C:\Windows\System32\certutil.exe  CA название.crt

 

Ваш вариант не заработал, но через пробы и ошибки все таки удалось

Но пришлось скопировать сам сертификат на каждый компьютер, и только после этого все получилось. И в самой задачи указал учетку администратора. И задача распространялась с помощью Агента администрирования. 

Вот пример bat файла:

 

MD c:\temp
copy название.crt c:\temp\
C:\Windows\System32\certutil -addstore CA c:\temp\название.crt

 

Тему можно закрывать, всем спасибо за участие!!! 

 

 

Изменено 2 марта, 2022 пользователем sahana

[adruz]

Ответ на Ваш вопрос:

1. Создаём папку
2. Кладём в нее сертификат и bat-файл
3. Содержимое bat (certutil -addstore "Root" %~dp0\cert.crt) (certutil -addstore "Куда_положить" переменная_до_места_расположения_батника\имя_сертификата.crt)
4. Идём в KSC -> Дополнительно - Удаленная установка - Инсталляционные пакеты - кнопка [Создать инсталляционный пакет]
5. Создать пакет для указанного исполняемого файла - Задаем имя - Выбираем дистрибутив - Выбираем нашу папку с файлами, указываем bat-файл - обязательно ставим галочку "Копировать всю папку в инсталляционный пакет".
6. Выбираем наш созданный пакет и разливаем через "Задачу" на нужные группы/компы.

Изменено 4 июля, 2023 пользователем adruz

[NickM]

04.07.2023 в 16:58, adruz сказал:

%~dp0\cert.crt

Что вернёт?

echo %~dp0\cert.crt

Вернёт:

"текущая директория", "два бэкслеша" и "cert.crt" 

Тогда из этого следует:

%~dp0cert.crt

 

[adruz]

06.07.2023 в 10:39, NickM сказал:

Что вернёт?

echo %~dp0\cert.crt

Вернёт:

"текущая директория", "два бэкслеша" и "cert.crt" 

Тогда из этого следует:

%~dp0cert.crt

 

 

Не вижу того, о чем Вы говорите.

Изменено 6 августа, 2023 пользователем adruz

[NickM]

06.08.2023 в 16:57, adruz сказал:

 

Не вижу того, о чем Вы говорите.

Так ведь вызывать из самого сценария, а не выполнять в командой строке.