Windows – CA-Zertifikate per Command Line importieren

Heute wieder etwas zum Thema Unattended Installation bei Windows. Ich habe die Notwendigkeit, eigene CA-Zertifikate ins Windows zu importieren. Unter anderem, damit mein WSUS mit SSL funktionert, da dessen Zertifikat von dieser eigenen CA stammt. Bei Windows (getestet ab 2008 R2) gibt es dazu das certutil.exe. Um Zertifikate in einen bestimmten Zertifikatspeicher beispielsweise zu importieren, muss man wissen, wie diese Speicher heißen.

User Certificates

User Certificates


Eine Möglichkeit ist certmgr.msc. Hier wird nur der Speicher des Users angezeigt, weshalb man sich mit mmc am Besten schnell etwas zusammenstellt. Natürlich kann certutil nichts mit den langen Namen anfangen, da hier die Kurznamen benötigt werden. In der Registry findet man schneller heraus. Dort sind ein Teil der Zertifikate für entsprechenden Benutzer bzw. den Computer in den jeweiligen Stores als BLOBS abgelegt:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\SystemCertificates
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates

Blobs in Registry

Blobs in Registry


Alternativ kann man sich einen Teil in der Console ausgeben lassen mit certutil -v -enumstore.

Die Anleitungen im Internet zeigen oft einen Import unter TrustedPublisher. Wer es in Trusted Root Certification Authorities importieren möchte, muss also ROOT eingeben.

certutil -addstore "ROOT" ownCA.p7b
ROOT "Trusted Root Certification Authorities"
Signature matches Public Key
Certificate "Own CA" added to store.
CertUtil: -addstore command completed successfully.

Dazu gibt es auch einen guten Artikel im Technet. Vielleicht hilfts euch?!

Marcel

Hallo, ich bin Marcel - Systemfummler mit Adminrechten und Internetjunkie. Ich liebe jeden Technikkram, meine Spielwiesen und das Internet, Reisen sowie Sushi und Thaifood.