web-dev-qa-db-ja.com

ルート/信頼できる発行元の証明書ファイルをWindowsマシンに展開する

Windows XPおよびServer 2003からWindows 7およびServer 2008 R2までのさまざまなバージョンのWindowsを実行しています。約1000台のマシンに展開する必要がある自己署名.cer証明書があります。

SCCMは私たちの通常の展開方法であり、これらをいくつかの異なる方法で展開しようとしましたが、必要なすべてのツールがすべてのOSで使用できるわけではないか、自動展開でエラーメッセージが表示されるだけです。手動で実行する方法をご覧ください。

私が見つけた最もプラットフォームにやさしい方法は、管理ツールがインストールされているXP SP3のコピーからCertUtil.exeとcertadm.dllのコピーを取得し、それをドロップすることです。 .cerファイルと同じフォルダーの場合、バッチファイルで次のコマンドラインを使用します。

certutil.exe -addstore TrustedPublisher cert.cer

certutil.exe -addstore root cert.cer

これは手動でバッチファイルを実行するとうまく機能しますが、自動的に実行するとさまざまなエラーが発生します。

Windowsプラットフォーム間でこれを行うより良い方法はありますか?

4
GAThrawn

この前の質問からの手がかり Winのコマンドラインを使用して証明書をインポートするXP Home と、少し遊んでみると、これはOS全体に一貫して展開されます。

32ビットのWindows Server 2003 SP2管理パック( KB340178 )から次のファイルを抽出し、証明書と共にSCCMのパッケージソース上のフォルダに保存しました。

certadm.dll
certcli.dll
certreq.exe
certutil.exe
cert.cer

バッチファイルを破棄し、SCCMで次の2つのコマンドラインを使用して2つの個別のプログラムを作成します(両方とも1つの広告にチェーンされます)。すべてOSで自動化されたロールアウトとして機能しているようです。

certutil.exe -addstore TrustedPublisher cert.cer

certutil.exe -addstore root cert.cer

3
GAThrawn

多くのマシンを持っているので、ADドメインを使用していると想定するのが妥当だと思われます。その場合、グループポリシーオブジェクトを使用して証明書をプッシュできます。 Technetの this one などの手順を説明する記事は多数あります。

5
John Gardeniers