Testowanie SCEP z poziomu Powershell’a

21 czerwca 2017 at 08:05

SCEP (ang. Simple Certificate Enrollment Protocol ), chociaż wbrew nazwie konfiguracja nie zawsze jest prosta łatwa i przyjemna 0 cóż taki żywot Aby lepiej zrozumieć czym jest i jak działa polecam zapoznanie z filmikiem: SCEP Natomiast co do sedna – Po instalacji i konfiguracji przydałoby się przetestować poprawność działania. Nie potrzeba wcale wykorzystywac urządzenia sieciowego – można do tego celu zaprząc po prostu Powershella. Poniżej opis How-To: Przygotowanie pliku tekstowego do wygenerowanie requestu o certyfikat np:

Wygenerowanie Requestu SCEP ( gdzie username to użytkownik domenowy uprawniony do wnioskowania o certyfikaty SCEP a przełącznik -p to jego hasło) Poniżej poprawna odpowiedź SCEP: Oraz zawartość wygenerowanego pliku żądania: Wysłanie Requestu do PKI i odebranie automatycznie podpisanego nowego certyfikatu: Status „SCEPDispositionSuccess(0)” oznacza, że wszystko działa poprawnie i odebraliśmy swój certyfikat ze SCEP’a Teraz można wykorzystać swój certyfikat, który pojawił się we wskazanym wcześniej miejscu:   Enjoy P.S. Aby wystawianie certyfikatów za pomocą SCEP działało automatycznie bez konieczności generowania haseł wymagana jest zmiana w rejestrze – ale o tym jaka w kolejnym wpisie

Brakujące Template’y Certyfikatów

27 sierpnia 2015 at 14:21

Po reinstalacji/wykonaniu upgrade’u/ zastąpieniu urzędu certyfikatów CA wszystkie usługi są świadczone poprawnie, ale większość szablonów certyfikatów jest niewidoczna z poziomu konsolek do zarządzania usługami. Nie pomagają restarty usług, serwerów itp. Należy wykonać polecenie:

Podając jako parametr „templatename” nazwę „zaginionego” template’u. Należy powtórzyć kolejno dla wszystkich szablonów. Po wykonaniu powyższych komend wszystkie szablony są dostępne i widoczne

Standalone CA – Pseudo-Enrolment z Powershell’a

27 marca 2015 at 11:51

W pewnym środowisku domenowym – powstała konieczność generowania certyfikatów personalnych dla użytkowników w oparciu o CA – Standalone, bez użycia AutoEnrolmentu. Po co? Dlaczego? – Biznes – tego nie zrozumiesz… 😉 Gdzie jest haczyk? Dla jednej, czy dwóch osób przeklinanie się przez dedykowany serwis IIS’owy do składania zadań certyfikatów nie stanowi problemu, natomiast przy wolumenie kilkuset/kilku tysięcy użytkowników ręczne wykonywanie ciągu akcji jest po prostu stratą czasu i mocy przerobowych. Zacznijmy może od tego jak wygląda proces wykonywany w całości ręcznie: 1. Zebranie danych o użytkowniku (Imie, nazwisko, identyfikator(samaccountname), DN….) 2. Wprowadzenie zebranych wcześniej informacji przez dedykowany serwis IIS „certsrv” 3. Wysłanie wniosku do podpisania certyfikatu 4. Podpisanie żądania 5. Pobranie podpisanego żądania z serwisu IIS 6. „Poskładanie” pfx’a złozonego z klucza publicznego i prywatnego Razy kilkaset/kilka tysięcy = masakra   Co robić? Jak ułatwić sobie zadanie? Oczywiście wykorzystując Powershell’a. W pierwszym kroku należy przygotować sobie szablon, który będzie służyć do składania wniosków. Nazwijmy go „Wzorzec.inf” :

Jeżeli nie mamy utworzonego szablonu „PseudoEnrolment” – konieczne będzie potwierdzanie informacji o jego braku przy generowaniu certów. Można tez za-komentować tą linijkę. Parametry dotyczące certyfikatu zalezą oczywiście od potrzeb OK. Co dalej z naszym plikiem wzorcowym? Przygotowujemy sobie listę identyfikatorów użytkowników (samaccountname)  […]

© Marcin Krzanowicz