Importation de fichier pfx en particulier magasin de certificats à partir de la ligne de commande

Il est relativement facile d'importer un certificat dans le magasin personnel de l'utilisateur à partir d'un fichier pfx CertUtil:

certutil f p [certificate_password] importpfx C:\[certificate_path_and_name].pfx

Mais cela se termine dans le Magasin Personnel de l'utilisateur actuel. J'ai besoin d'elle dans TrustedPeople sur LocalMachine.

Est il possible que je peux le faire à partir de la ligne de commande, soit par des appels de différents arguments sur certutil importpfx, à l'aide d'une autre commande certutil ou un autre utilitaire? Powershell est une autre possibilité, mais je ne sais pas beaucoup sur elle.

Cheers,
Matt

InformationsquelleAutor Matt Thrower | 2011-03-02
  1. 55

    L'ancrage de mes découvertes ici pour les futurs lecteurs.

    Certificat d'importation pour les Autorités de Certification Racine approuvées sur la Machine Locale:

    CERTUTIL -addstore -enterprise -f -v root "somCertificat.cer"

    Importation pfx Personnels sur l'ordinateur local

    CERTUTIL -f -p somePassword -importpfx "somePfx.pfx"

    Importation pfx à des Personnes de Confiance sur la machine locale - Lien à importpfx.exe

    importpfx.exe -f "somePfx.pfx" -p "somePassword" -t MACHINE -s "TRUSTEDPEOPLE"

    Importation de certificat à des Personnes de Confiance sur la machine locale

    Certutil -addstore -f "TRUSTEDPEOPLE" "someCertificate.cer"
    • C'est frustrant que CERTUTIL ne peut pas importer un fichier PFX à TRUSTEDPEOPLE. CertUtil fonctionne très bien avec une distance PSSession (PowerShell), mais importpfx n'est pas (pour info, source de importpfx est home.fnal.gov/~jklemenc/src/importpfx.cpp). Je ne suis pas sûr de ce que CERTUTIL est en train de faire différemment, mais t travailler à distance avec des PS sessions, mais je ne peut pas placer le cert de Personnes de Confiance. Soupir. Un très frustrant couple de jours.
    • Nous avons terminé la rédaction d'un ensemble de powershell fonctions, pour faire le travail difficile. Regardez CiPsLib.Les certificats.psm1 -> Importation de Certificat, github.com/rasmus/CiPsLib/tree/master/tools
    • Comment puis-je importer sans l'aide d'un mot de passe? Est-il possible?
    • si le certificat est protégé par un mot de passe vide que vous utilisez-p "". Si il est protégé par mot de passe, vous devez connaître le mot de passe.
    InformationsquelleAutor jaspernygaard
  2. 8

    À quelqu'un d'autre à la recherche pour cela, je n'étais pas en mesure d'utiliser certutil -importpfx dans un magasin spécifique, et je ne veux pas télécharger le importpfx outil fourni par jaspernygaard de réponse afin d'éviter d'avoir besoin de copier le fichier dans un grand nombre de serveurs. J'ai fini par trouver ma réponse dans un script powershell montré ici.

    Le code utilise System.Security.Cryptography.X509Certificates pour importer le certificat, puis le déplace dans le bac désiré:

    function Import-PfxCertificate { 

    param([String]$certPath,[String]$certRootStore = localmachine”,[String]$certStore = My”,$pfxPass = $null) 
    $pfx = new-object System.Security.Cryptography.X509Certificates.X509Certificate2 

    if ($pfxPass -eq $null) 
    {
        $pfxPass = read-host "Password" -assecurestring
    } 

    $pfx.import($certPath,$pfxPass,"Exportable,PersistKeySet") 

    $store = new-object System.Security.Cryptography.X509Certificates.X509Store($certStore,$certRootStore) 
    $store.open("MaxAllowed") 
    $store.add($pfx) 
    $store.close() 
}
    • pouvez-vous svp m'aider à comprendre les valeurs et son sens. "MaxAllowed", "Ma",
    • Ma est le nom de la cert magasin, je suis en utilisant. voir msdn.microsoft.com/en-us/library/windows/desktop/... pour plus d'infos sur cert magasins. MaxAllowed est la valeur de la OpenFlags je suis aide à ouvrir. Honnêtement, je n'ai juste copié et collé la partie, mais vous pouvez apprendre plus au sujet de ses valeurs possibles ici: msdn.microsoft.com/en-us/library/...
    • Merci beaucoup. Quand nous faisons la même opération à partir de IIS quelles seront ces valeurs
    InformationsquelleAutor mao47
  3. 6

    Consulter ces liens:
    http://www.orcsweb.com/blog/james/powershell-ing-on-windows-server-how-to-import-certificates-using-powershell/

    Import-Certificat: http://poshcode.org/1937

    Vous pouvez faire quelque chose comme:

    dir -Path C:\Certs -Filter *.cer | Import-Certificate -CertFile $_ -StoreNames AuthRoot, Root -LocalMachine -Verbose
    InformationsquelleAutor ravikanth
  4. 3

    Pour windows 10:

    certificat d'importation pour les Autorités de Certification Racine approuvées pour l'Utilisateur Actuel:

    certutil -f -user -p oracle -importpfx root "example.pfx"

    certificat d'importation à des Personnes de Confiance pour l'Utilisateur Actuel:

    certutil -f -user -p oracle -importpfx TrustedPeople "example.pfx"

    certificat d'importation pour les Autorités de Certification Racine approuvées sur la Machine Locale:

    certutil -f -user -p oracle -enterprise -importpfx root "example.pfx"

    certificat d'importation à des Personnes de Confiance sur la Machine Locale:

    certutil -f -user -p oracle -enterprise -importpfx TrustedPeople "example.pfx"
    • J'ai été vraiment du mal à ajouter un certificat utilisateur à un nouveau magasin. Le dernier exemple a fonctionné pour moi. Remarque: si vous utilisez un nom de magasin (par exemple, "ABC") au lieu de "TrustedPeople" le magasin sera créé! Il n'est pas nécessaire d'utiliser le addstore argument pour ajouter un magasin...c'est la chose qui m'a bloqué sur.
    InformationsquelleAutor BurningFish
  5. 2

    Avec Windows 2012 R2 (Win 8.1) et le haut, vous avez également la "officielle" Import-PfxCertificate applet de commande

    Ici sont quelques-uns des éléments essentiels de code (adaptable exemple):

    Invoke-Command -ComputerName $Computer -ScriptBlock {
        param(
            [string] $CertFileName,
            [string] $CertRootStore,
            [string] $CertStore,
            [string] $X509Flags,
            $PfxPass)
        $CertPath = "$Env:SystemRoot$CertFileName"
        $Pfx = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2
        # Flags to send in are documented here: https://msdn.microsoft.com/en-us/library/system.security.cryptography.x509certificates.x509keystorageflags%28v=vs.110%29.aspx
        $Pfx.Import($CertPath, $PfxPass, $X509Flags) #"Exportable,PersistKeySet")
        $Store = New-Object -TypeName System.Security.Cryptography.X509Certificates.X509Store -ArgumentList $CertStore, $CertRootStore
        $Store.Open("MaxAllowed")
        $Store.Add($Pfx)
        if ($?)
        {
            "${Env:ComputerName}: Successfully added certificate."
        }
        else
        {
            "${Env:ComputerName}: Failed to add certificate! $($Error[0].ToString() -replace '[\r\n]+', ' ')"
        }
        $Store.Close()
        Remove-Item -LiteralPath $CertPath
    } -ArgumentList $TempCertFileName, $CertRootStore, $CertStore, $X509Flags, $Password

    Basé sur mao47 du code et de la recherche, j'ai écrit un petit article et une simple applet de commande pour l'importation/la poussée PFX des certificats à des ordinateurs distants.

    Voici mon article avec plus de détails et de compléter le code qui fonctionne également avec les PSv2 (par défaut sur le Serveur 2008 R2 /Windows 7), aussi longtemps que vous avez SMB est activé et administratives d'accès au partage.

    • Tandis que ceci peut théoriquement répondre à la question, il serait préférable pour inclure l'essentiel des éléments de réponse ici, et de fournir le lien de référence.
    InformationsquelleAutor Joakim
  6. 1

    Voici le code complet, l'importation pfx, ajouter un site web iis, ajouter liaison ssl:

    $SiteName = "MySite"
$HostName = "localhost"
$CertificatePassword = '1234'
$SiteFolder = Join-Path -Path 'C:\inetpub\wwwroot' -ChildPath $SiteName
$certPath = 'c:\cert.pfx'


Write-Host 'Import pfx certificate' $certPath
$certRootStore = LocalMachine
$certStore = "My"
$pfx = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2
$pfx.Import($certPath,$CertificatePassword,"Exportable,PersistKeySet") 
$store = New-Object System.Security.Cryptography.X509Certificates.X509Store($certStore,$certRootStore) 
$store.Open('ReadWrite')
$store.Add($pfx) 
$store.Close() 
$certThumbprint = $pfx.Thumbprint


Write-Host 'Add website' $SiteName
New-WebSite -Name $SiteName -PhysicalPath $SiteFolder -Force
$IISSite = "IIS:\Sites$SiteName"
Set-ItemProperty $IISSite -name  Bindings -value @{protocol="https";bindingInformation="*:443:$HostName"}
if($applicationPool) { Set-ItemProperty $IISSite -name  ApplicationPool -value $IISApplicationPool }


Write-Host 'Bind certificate with Thumbprint' $certThumbprint
$obj = get-webconfiguration "//sites/site[@name='$SiteName']"
$binding = $obj.bindings.Collection[0]
$method = $binding.Methods["AddSslCertificate"]
$methodInstance = $method.CreateInstance()
$methodInstance.Input.SetAttributeValue("certificateHash", $certThumbprint)
$methodInstance.Input.SetAttributeValue("certificateStoreName", $certStore)
$methodInstance.Execute()
    • Vous voulez probablement l'importation des drapeaux pour être "Exportable,MachineKeySet,PersistKeySet" afin d'obtenir la clé privée dans le machinekeys, plutôt que dans le profil des utilisateurs.
    InformationsquelleAutor Aurel Havetta
  7. 0

    Dans une version plus récente de windows, le Certuil a [CertificateStoreName] où l'on peut donner le nom du magasin. Dans la version antérieure de windows, ce n'était pas possible.

    De l'installation *.le certificat pfx:
    certutil -f -p "" -entreprise -importpfx racine ""

    De l'installation *.cer certificat:
    certutil -addstore -entreprise -f -v root ""

    Pour plus de détails, ci-dessous de commande peut être exécuté sur windows cmd.
    C:>certutil -importpfx -?
    Utilisation:
    CertUtil [Options] -importPFX [CertificateStoreName] PFXFile [Modificateurs]

    InformationsquelleAutor santoshkhembram