Windows – CA-Zertifikate per Command Line importieren

Heute wieder etwas zum Thema Unattended Installation bei Windows. Ich habe die Notwendigkeit, eigene CA-Zertifikate ins Windows zu importieren. Unter anderem, damit mein WSUS mit SSL funktionert, da dessen Zertifikat von dieser eigenen CA stammt. Bei Windows (getestet ab 2008 R2) gibt es dazu das certutil.exe. Um Zertifikate in einen bestimmten Zertifikatspeicher beispielsweise zu importieren, muss man wissen, wie diese Speicher heißen.

User Certificates

User Certificates


Eine Möglichkeit ist certmgr.msc. Hier wird nur der Speicher des Users angezeigt, weshalb man sich mit mmc am Besten schnell etwas zusammenstellt. Natürlich kann certutil nichts mit den langen Namen anfangen, da hier die Kurznamen benötigt werden. In der Registry findet man schneller heraus. Dort sind ein Teil der Zertifikate für entsprechenden Benutzer bzw. den Computer in den jeweiligen Stores als BLOBS abgelegt:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\SystemCertificates
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates

Blobs in Registry

Blobs in Registry


Alternativ kann man sich einen Teil in der Console ausgeben lassen mit certutil -v -enumstore.

Die Anleitungen im Internet zeigen oft einen Import unter TrustedPublisher. Wer es in Trusted Root Certification Authorities importieren möchte, muss also ROOT eingeben.

certutil -addstore "ROOT" ownCA.p7b
ROOT "Trusted Root Certification Authorities"
Signature matches Public Key
Certificate "Own CA" added to store.
CertUtil: -addstore command completed successfully.

Dazu gibt es auch einen guten Artikel im Technet. Vielleicht hilfts euch?!

Silent Installation von Control-M/Agent V8 Fix Pack 2

Nutzt jemand einen Control-M Agenten unter Windows? Falls man das Fixpack unattended installieren will – hier die Kurzanleitung. Herunterladen kann man die Dateien vom FTP-Server von BMC. Der ist weitaus übersichtlicher als über das Support-Menü. Dann die Exe-Datei entpacken mit

PAKAI.8.0.00.200_windows_x86_64.exe -e -d(Pfad-zum-Ordner)

bmc-fixpack-screenshot

Wichtig ist hier, dass beim Parameter „-d“ kein Leerzeichen ist. Ansonsten werden die Dateien nach %TEMP% geschoben. Hat man dies geschafft, kann man sich, entgegen der Info aus der Anleitung, mit der silent.bat behelfen.

LocalGPO Tool funktioniert nicht auf Windows Server 2012 R2

Hallo mal wieder. Ich schraube gerade intensiv an einer neuen Autoinstallation für Windows 2012 R2. Da alle Server später möglichst identisch aussehen sollen, egal ob sie nun in einer Domäne landen oder nicht, sind einige Schrauben zu drehen. Heute ist sind die Local Policy Settings dran und da gibt es ja seit einiger Zeit das Command Line Tool LocalGPO, welches im Security Compliance Manager (SCM) enthalten ist. Leider wurde bei Microsoft das Tool für das 2012er R2 noch nicht angepasst. Natürlich stellte ich dies erst fest, nachdem ich mit meiner Template-Erstellung durch war. Fehlermeldung LocalGPOtool auf 2012r2 Was kann man also machen? Richtig – das Skript modifzieren! Geht in den Ordner C:\Program Files (x86)\LocalGPO und dort die Datei LocalGPO.wsf mit dem Editor öffen. Zum Beispiel mit Notepad++. Im Abschnitt Main dann den Aufruf der Funktion ChkOSVersion auskommtieren. Also Call ChkOSVersion mit 'Call ChkOSVersion. Der saubere Weg ist natürlich, die Funktion Sub ChkOSVersion bearbeiten und dort die korrekte Version für 2012 R2 einfügen. Ist dies erledigt, funktioniert auch der Export wie erwartet.

C:\Program Files (x86)\LocalGPO>cscript LocalGPO.wsf /Path:C:\GPObackups /Export
Microsoft (R) Windows Script Host Version 5.8
Copyright (C) Microsoft Corporation. All rights reserved.
Exporting Local Policy... this process can take a few moments.

Local Policy Exported to C:\GPObackups\{5BCD14CE-4D93-4C57-B43B-A253FBEA8CB5}
C:\Program Files (x86)\LocalGPO>

Will man die Local GPO-Settings später in ein 2012 R2 importieren, so ist die Änderung in der GPOPack.wsf zwingend notwendig.

If(Left(strOpVer,3) = "6.3") and (strProductType <> "1") then 
         strOS = "WS12"

Das WSUS-Update braucht ein Update

UTIL LOGO
Heute war der Tag der Updates für den WSUS-Server. Lief alles wie gewohnt durch. Es kam auch ein Update für den WSUS-Dienst mit – die Version 3.2.7600.251. Danach stellte ich dann fest, dass ein Sync mit dem Microsoft-Server nicht mehr funktionierte. Dolle Wurst. Egal wie, es ging nicht. Stattdessen wurde eine nichtssagende Meldung ausgespuckt.

WebException: The request failed with the error message:
--
<html><head><title>Object moved</title></head><body>
<h2>Object moved to <a href="%2fmicrosoftupdate%2fv6%2ferrorinformation.aspx%3ferror%3d15">here</a>.</h2>
</body></html>

--.
at System.Web.Services.Protocols.SoapHttpClientProtocol.ReadResponse(SoapClientMessage message, WebResponse response, Stream responseStream, Boolean asyncCall)
   at System.Web.Services.Protocols.SoapHttpClientProtocol.Invoke(String methodName, Object[] parameters)
   at Microsoft.UpdateServices.ServerSyncWebServices.ServerSync.ServerSyncProxy.GetAuthConfig()
   at Microsoft.UpdateServices.ServerSync.ServerSyncLib.InternetGetServerAuthConfig(ServerSyncProxy proxy, WebServiceCommunicationHelper webServiceHelper)
   at Microsoft.UpdateServices.ServerSync.ServerSyncLib.Authenticate(AuthorizationManager authorizationManager, Boolean checkExpiration, ServerSyncProxy proxy, Cookie cookie, WebServiceCommunicationHelper webServiceHelper)
   at Microsoft.UpdateServices.ServerSync.CatalogSyncAgentCore.SyncConfigUpdatesFromUSS()
   at Microsoft.UpdateServices.ServerSync.CatalogSyncAgentCore.ExecuteSyncProtocol(Boolean allowRedirect)

Continue Reading

USBwebserver8 – schmale Webumgebung für den Stick

Für meine Anfänge in WordPress wollte ich nicht gleich sofort online starten. Schließlich wollte und musste ich mehrmals bei Null anfangen.
Da ich Freund von Software bin, die man nicht installieren muss und nur bei Bedarf aktivieren kann, suchte ich nach einer kleinen Webserver-Umgebung mit diesen Eigenschaften. Nun gibt es auch in diesem Bereich jede Menge Auswahl. Meine Wahl viel auf den USBwebserver V8.5.


Gibt es derzeit nur für Windows.
Continue Reading