Вопрос или проблема
Мне нужно импортировать PEM сертификат на большое количество только что установленных машин Windows 7 Enterprise.
Обычно я делал бы это через MMC → Сертификаты (локальный компьютер) → Доверенные корневые центры сертификации → Импорт, но мне нужно ускорить процесс. Поэтому я хотел бы использовать только командную строку.
С помощью certmgr.exe (не certmgr.msc!) я бы ввел:
certmgr.exe -add -c C:\certificate.pem -s -r localMachine root
Проблема в том, что certmgr.exe не существует в Windows 7. Как тогда я могу добавить сертификат из командной строки?
Вместо этого вам нужно использовать certutil.exe:
certutil –addstore -enterprise –f "Root" <путькфайлу сертификата>
это добавит сертификат в хранилище доверенных корневых центров сертификации.
Если вы хотите добавить промежуточный центр сертификации, замените Root на CA, а для добавления в ваше личное хранилище измените на My.
Все вышеперечисленное добавляет сертификат в хранилище локального компьютера. Чтобы добавить в хранилище пользователя, замените -enterprise на -user:
certutil –addstore -user –f "Root" <путькфайлу сертификата>
-f в команде просто заставляет перезаписать сертификат в случае, если он уже установлен.
Ответ или решение
Импортирование .PEM сертификатов в Windows 7 через командную строку
В процессе работы с большими объемами установок Windows 7 Enterprise у администраторов может возникнуть необходимость быстро импортировать сертификаты PEM на множество машин. Использование графического интерфейса, такого как MMC (Microsoft Management Console), может занять лишнее время, особенно при необходимости масштабного развертывания. Ниже приведена инструкция по выполнению этой задачи с помощью командной строки.
Подготовка к импорту сертификатов
Чтобы импортировать сертификаты, рекомендуется использовать утилиту certutil, которая предустановлена в Windows. certutil позволяет управлять сертификатами и хранить криптографические ключи из командной строки.
Импорт сертификата
-
Открыть командную строку:
Запустите командную строку от имени администратора. Это необходимо, чтобы иметь соответствующие права для работы с хранилищами сертификатов. -
Использование команды для импорта:
В зависимости от типа сертификата, который вы хотите импортировать, используйте одну из следующих команд.-
Для добавления сертификата в хранилище доверенных корневых центров сертификации (Root):
certutil -addstore -enterprise -f "Root" C:\путь_к_сертификату\certificate.pem -
Для добавления сертификата в хранилище промежуточных сертификатов (CA):
certutil -addstore -enterprise -f "CA" C:\путь_к_сертификату\certificate.pem -
Для добавления сертификата в личное хранилище (My):
certutil -addstore -enterprise -f "My" C:\путь_к_сертификату\certificate.pem
Примечание: Параметр
-fв команде заставляет утилиту перезаписать существующий сертификат с тем же именем, если таковой имеется. -
-
Импорт сертификата в пользовательское хранилище:
Если сертификат необходимо установить именно в пользовательское хранилище, замените параметр-enterpriseна-user:certutil -addstore -user -f "Root" C:\путь_к_сертификату\certificate.pem
Важные моменты
- Путь к файлу сертификата: Не забудьте указать правильный путь к файлу сертификата. Если путь содержит пробелы, обязательно оберните его в кавычки.
- Проверка успешности выполнения: После выполнения команды можно проверить успешно ли был импортирован сертификат с помощью команды:
certutil -store "Root"
Заключение
Импортирование сертификатов в Windows 7 с использованием командной строки — это эффективный способ управления сертификатами, особенно когда речь идет о большом количестве систем. Используя указанные команды и соблюдая рекомендации, вы сможете быстро настроить необходимую среду безопасности на всех ваших машинах.