Импорт файла pfx в определенное хранилище сертификатов из командной строки
относительно легко импортировать сертификат в личное хранилище пользователя из файла pfx с помощью CertUtil:
certutil –f –p [certificate_password] –importpfx C:[certificate_path_and_name].pfx
но это заканчивается в хранилище "личное" текущего пользователя. Мне это нужно в TrustedPeople на LocalMachine.
есть ли способ сделать это из командной строки, вызвав различные аргументы в certutil importpfx, используя другую команду certutil или другую утилиту? Powershell-еще одна возможность, хотя я не знаю много об этом.
Ура, Мэтт!--2-->
6 ответов
закрепление моих выводов здесь для будущих читателей.
импорт сертификата в Доверенные корневые центры сертификации на локальном компьютере:
CERTUTIL -addstore -enterprise -f -v root "somCertificat.cer"
импорт pfx в Personal на локальном компьютере
CERTUTIL -f -p somePassword -importpfx "somePfx.pfx"
импорт pfx доверенным лицам на локальном компьютере -ссылке в importpfx.exe
importpfx.exe -f "somePfx.pfx" -p "somePassword" -t MACHINE -s "TRUSTEDPEOPLE"
импорт certificat доверенным лицам на локальном компьютере
Certutil -addstore -f "TRUSTEDPEOPLE" "someCertificate.cer"
для всех, кто ищет это, я не смог использовать certutil -importpfx в конкретный магазин, и я не хотел загружать инструмент importpfx, поставляемый ответом jaspernygaard, чтобы избежать требования копирования файла на большое количество серверов. Я нашел свой ответ в сценарии powershell, показанном здесь.
код использует System.Security.Cryptography.X509Certificates чтобы импортировать сертификат, а затем переместить его в нужное хранилище:
function Import-PfxCertificate {
param([String]$certPath,[String]$certRootStore = “localmachine”,[String]$certStore = “My”,$pfxPass = $null)
$pfx = new-object System.Security.Cryptography.X509Certificates.X509Certificate2
if ($pfxPass -eq $null)
{
$pfxPass = read-host "Password" -assecurestring
}
$pfx.import($certPath,$pfxPass,"Exportable,PersistKeySet")
$store = new-object System.Security.Cryptography.X509Certificates.X509Store($certStore,$certRootStore)
$store.open("MaxAllowed")
$store.add($pfx)
$store.close()
}
проверьте эти ссылки: http://www.orcsweb.com/blog/james/powershell-ing-on-windows-server-how-to-import-certificates-using-powershell/
Импорт-Сертификат:http://poshcode.org/1937
вы можете сделать что-то вроде:
dir -Path C:\Certs -Filter *.cer | Import-Certificate -CertFile $_ -StoreNames AuthRoot, Root -LocalMachine -Verbose
С Windows 2012 R2 (Win 8.1) и выше, у вас также есть "официальный" командлет Import-PfxCertificate
вот некоторые существенные части кода (пример адаптации):
Invoke-Command -ComputerName $Computer -ScriptBlock {
param(
[string] $CertFileName,
[string] $CertRootStore,
[string] $CertStore,
[string] $X509Flags,
$PfxPass)
$CertPath = "$Env:SystemRoot$CertFileName"
$Pfx = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2
# Flags to send in are documented here: https://msdn.microsoft.com/en-us/library/system.security.cryptography.x509certificates.x509keystorageflags%28v=vs.110%29.aspx
$Pfx.Import($CertPath, $PfxPass, $X509Flags) #"Exportable,PersistKeySet")
$Store = New-Object -TypeName System.Security.Cryptography.X509Certificates.X509Store -ArgumentList $CertStore, $CertRootStore
$Store.Open("MaxAllowed")
$Store.Add($Pfx)
if ($?)
{
"${Env:ComputerName}: Successfully added certificate."
}
else
{
"${Env:ComputerName}: Failed to add certificate! $($Error[0].ToString() -replace '[\r\n]+', ' ')"
}
$Store.Close()
Remove-Item -LiteralPath $CertPath
} -ArgumentList $TempCertFileName, $CertRootStore, $CertStore, $X509Flags, $Password
основываясь на коде mao47 и некоторых исследованиях, я написал небольшую статью и простой командлет для импорта/нажатия сертификатов PFX на удаленные компьютеры.
здесь моя статья с более подробной информацией и полным кодом, который также работает с PSv2 (по умолчанию на сервере 2008 R2 / Windows 7), Если у вас есть SMB включен и административный доступ к общему ресурсу.
для windows 10:
импорт сертификата в Доверенные корневые центры сертификации для текущего пользователя:
certutil -f -user -p oracle -importpfx root "example.pfx"
импорт сертификата доверенным лицам для текущего пользователя:
certutil -f -user -p oracle -importpfx TrustedPeople "example.pfx"
импорт сертификата в Доверенные корневые центры сертификации на локальном компьютере:
certutil -f -user -p oracle -enterprise -importpfx root "example.pfx"
импорт сертификата доверенным лицам на локальном компьютере:
certutil -f -user -p oracle -enterprise -importpfx TrustedPeople "example.pfx"
вот полный код, импорт pfx, добавить веб-сайт iis, добавить привязку ssl:
$SiteName = "MySite"
$HostName = "localhost"
$CertificatePassword = '1234'
$SiteFolder = Join-Path -Path 'C:\inetpub\wwwroot' -ChildPath $SiteName
$certPath = 'c:\cert.pfx'
Write-Host 'Import pfx certificate' $certPath
$certRootStore = “LocalMachine”
$certStore = "My"
$pfx = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2
$pfx.Import($certPath,$CertificatePassword,"Exportable,PersistKeySet")
$store = New-Object System.Security.Cryptography.X509Certificates.X509Store($certStore,$certRootStore)
$store.Open('ReadWrite')
$store.Add($pfx)
$store.Close()
$certThumbprint = $pfx.Thumbprint
Write-Host 'Add website' $SiteName
New-WebSite -Name $SiteName -PhysicalPath $SiteFolder -Force
$IISSite = "IIS:\Sites$SiteName"
Set-ItemProperty $IISSite -name Bindings -value @{protocol="https";bindingInformation="*:443:$HostName"}
if($applicationPool) { Set-ItemProperty $IISSite -name ApplicationPool -value $IISApplicationPool }
Write-Host 'Bind certificate with Thumbprint' $certThumbprint
$obj = get-webconfiguration "//sites/site[@name='$SiteName']"
$binding = $obj.bindings.Collection[0]
$method = $binding.Methods["AddSslCertificate"]
$methodInstance = $method.CreateInstance()
$methodInstance.Input.SetAttributeValue("certificateHash", $certThumbprint)
$methodInstance.Input.SetAttributeValue("certificateStoreName", $certStore)
$methodInstance.Execute()