[2003] Certificaat installeren op terminal server

Puur een gok - maar als je in plaats van 'Automatisch certificaatarchief selecteren...' nu de 'SHow Physical stores' (...) checkbox aanvinkt en hem in de Local Machine\Registry laat zetten ?

Hier misschien wat aan? http://weblogs.asp.net/he...9/WinHttpCertCfgTool.aspx

Moet te scripten zijn zo te zien!

elevator schreef op maandag 19 november 2007 @ 20:48:
Puur een gok - maar als je in plaats van 'Automatisch certificaatarchief selecteren...' nu de 'show Physical stores' (...) checkbox aanvinkt en hem in de Local Machine\Registry laat zetten ?

Vraagstukje wat je dan wel krijgt is: wat als je alleen een aantal users dat cert wil laten gebruiken?

alt-92 schreef op maandag 19 november 2007 @ 21:05:
[...]

Vraagstukje wat je dan wel krijgt is: wat als je alleen een aantal users dat cert wil laten gebruiken?

Rechten gaan zetten op specifieke keys in register?
Dat moet je dan alleen wel heel erg goed gaan documenteren, aangezien je daar niet snel naar gaat kijken indien je het eenmaal hebt ingesteld.

Als het al kan overigens..

[ Voor 3% gewijzigd door WaSteiL op 19-11-2007 21:17 ]

Over toeval gesproken, ik loop tegen hetzeflde probleem aan.

Ik heb ook diverse Terminal Server omgevingen waar er nu één van certificaten wil gaan gebruiken.
Ingelogt op de Terminal Server als Administrator werkt het certificaat met het programma perfect, maar log je vervolgens in als één van de gebruikers is de certificaat niet aanwezig.

Iemand nog tips of hints van waar ik dit in moet zoeken.

Net wat de TP zegt, zoeken in Google op kernwoorden met Terminal, Server, Certificate, Howto, Multiple, Users, etc, leverd teveel belachelijke informatie op waar je niks mee kunt.

WaSteiL schreef op maandag 19 november 2007 @ 21:16:

Rechten gaan zetten op specifieke keys in register?
Dat moet je dan alleen wel heel erg goed gaan documenteren, aangezien je daar niet snel naar gaat kijken indien je het eenmaal hebt ingesteld.

Als het al kan overigens..

Alles kan, de vraag is eerder of je dat wel moet willen
Dan kan je beter een goede vastlegging hebben wie er persoonlijke certificaten hebben gekregen in hun UserStore.

alt-92 schreef op dinsdag 20 november 2007 @ 16:05:
[...]

Alles kan, de vraag is eerder of je dat wel moet willen
Dan kan je beter een goede vastlegging hebben wie er persoonlijke certificaten hebben gekregen in hun UserStore.

En waar kan ik de UserStore vinden of hoe kom ik erachter waarin ik de certificaten moet plaatsen?
Misschien dat ik mij nu blind staat op al die hits van Google, maar kan nog geen duidelijke oplossing vinden.

-edit-
in mijn geval gaat het om 1 certificaat die op de server is geinstalleerd en die iedereen mag gebruiken.

[ Voor 11% gewijzigd door Verwijderd op 20-11-2007 16:42 ]

elevator in "\[2003] Certificaat installeren op termin..."

?

alt-92 schreef op dinsdag 20 november 2007 @ 16:43:
elevator in "\[2003] Certificaat installeren op termin..."

?

Alleen dan zou je wel die installatie wizard gehad moeten hebben, dit verliep via een Verisign procedure. Ik kan/kon nergens aangeven dat ik het in Register kan plaatsen.

Je hebt via verisign toch vast wel een .CER file of iets dergelijks gekregen?

---

alt-92 schreef op maandag 19 november 2007 @ 21:05:
Vraagstukje wat je dan wel krijgt is: wat als je alleen een aantal users dat cert wil laten gebruiken?

Dat los je al op door het password enkel aan die gebruikers te geven

elevator schreef op woensdag 21 november 2007 @ 05:59:
Je hebt via verisign toch vast wel een .CER file of iets dergelijks gekregen?

---

[...]

Dat los je al op door het password enkel aan die gebruikers te geven

Eigenlijk niet
Ik moest hem via een website installeren van de desbetreffende leverancier en dat verliep via een een site zonder gebruik te maken van een wizard. Ik heb er wel een backup van gemaakt en krijg vervolgens PTA en een X509 certificaat.

Het gaat mij om de X509 certificaat. Maar ik zal die wizard is handmatig starten en kijken wat ik er dan mee kan doen.

Verwijderd schreef op woensdag 21 november 2007 @ 08:59:
[...]


Eigenlijk niet
Ik moest hem via een website installeren van de desbetreffende leverancier en dat verliep via een een site zonder gebruik te maken van een wizard. Ik heb er wel een backup van gemaakt en krijg vervolgens PTA en een X509 certificaat.

Het gaat mij om de X509 certificaat. Maar ik zal die wizard is handmatig starten en kijken wat ik er dan mee kan doen.

De PTA (Personal Trust Agent) is een crypto store die door VeriSign omgevingen gebruikt kan worden. Met die store kan de leverancier van je certificaat een aantal zaken afdwingen die je onder Windows niet kan regelen. Zoals het verplichten van een sterk wachtwoord voordat je het certificaat (lees: private key) kan gebruiken. Bij het installeren in de Windows cryptostore is het nml eenvoudig om een certificaat te gebruiken zonder een wachtwoord op te moeten geven. Echter kan men (de beheerder van de CA) ook opgeven of een sleutelpaar geexporteerd mag worden uit de PTA. Dit gebeurd via een ActiveX of Java control op een webpagina.

Jazzy schreef op woensdag 21 november 2007 @ 09:31:
Het valt me geregeld op dat ik niet de enige ben die eigenlijk weinig kaas heeft gegeten van certificaten en CA's. Nu begin ik het langzaam aan wel een beetje door te krijgen maar in dit soort situaties weet ik het ook niet meer. Helemaal als je dan kijkt naar alle verschillende types certificaten, bestandsformaten, termen, etc. Laat staan dat de gebruikers begrijpen wat het precies is.

PKI zouden 'ze' wel wat minder complex en wat meer gebruiksvriendelijk mogen maken.

Je bent inderdaad niet de enige. Het concept is niet zo lastig en als je jezelf er even in verdiept is het allemaal niet zo lastig. Probleem is dat certificaten over het algemeen een lifecycle hebben van 1 jaar. Dus heel veel mensen/beheerders doen 1 keer per jaar iets met het installeren etc. Tegen de tijd dat men het weer moet doen moeten ze de boeken weer in om te kijken hoe het ook al weer werkte.

Om even terug te gaan naar de initiele vraag; Het is mogelijk om met certutil pfx bestanden via de CLI te importeren [link]. Op die manier kan je bij een aantal specifieke gebruikers via een script het certificaat importeren.
Het is niet mogelijk om een usercertificaat te gebruiken (door de gebruiker) als die in de local machine store geinstalleerd staat.