17 Sep 2018

Come importare un certificato CA su PC Windows con Kace 1000

Come importare un certificato CA su PC Windows con Kace 1000

In un ambiente professionale, in cui è buona norma avere utenze Windows senza diritti di amministrazione del PC, anche l'installazione di una semplice CA può risultare difficoltosa in quanto è spesso richiesto l'intervento del reparto IT a cui è demandato il supporto utenti.

Per installare certificati in maniera trasparente possiamo usare diversi metodi, il più ovvio e diffuso dei quali è senza dubbio una GPO. Ma non è sempre detto che la GPO sia la soluzione più veloce (ad esempio: chi deve eseguire il deploy dei certificati non ha i permessi per lavorare sulle GPO, o il certificato deve essere installato su un numero esiguo di PC per cui chi dovrebbe fare la GPO non considera questa un’attività primaria da svolgere ed i tempi rischiano di allungarsi)

Andiamo quindi a vedere come distribuire un certificato CA self-signed tramite KACE 1000. In seguito andremo anche ad installare sui client, con la stessa procedura, un secondo certificato intermedio, validato a sua volta dalla CA.

L’utility certutil.exe

certutil.exe è una utility, presente in tutti i sistemi Windows, che ci permette di fare tante cose con i certificati. Possiamo convertirli in caso il formato che abbiamo non sia quello che ci serve, possiamo importarli ed esportarli (sia in locale che su Active Directory), verificare la validità delle coppie di chiavi privata/pubblica eccetera.

Si usa da riga di comando e per la sintassi completa vi rimando all’apposita pagina sulla Knowledge Base Micorosoft

Definizioni

  • Entrambi i nostri certificati sono già in formato .cer
  • Il certificato CA si chiama NGIRootCA01
  • Il certificato intermedio si chiama NGISSLCA01.cer

Importazione della CA tramite certutil.exe

Il comando di importazione, che possiamo eseguire da un qualsiasi prompt amministrativo, è il seguente

start /wait certutil -addstore Root NGIRootCA01.cer

Il parametro -addstore deifnisce il datastore in cui andremo ad installare il certificato. Root corrisponde a “Autorità di certificazione radice attendibili

Importazione del certificato intermedio

Il certificato intermedio (che chiameremo SSLCA01.cer) a cui si faceva riferimento poco fa si importerà nella stessa maniera, cambiando solamente il datastore di riferimento:

start /wait certutil -addstore CA NGISSLCA01.cer

Lo script (kscript) su Kace

Andiamo ora a riportare tutto su Kace 1000, creando uno script apposito.

Riassunto delle Attività

  • Impostazione dei parametri di base
  • Importazione dei due certificati come dipendenze
  • Creazione di un batch file
  • Schedulazione

Realizzazione

  1. Portiamoci in Scripting / Scripts e creiamo un novo kscript (“New”)
  2. Una volta definito un nome, portiamoci nella sezione Operating Systems e clicchiamo su Manage Operating Systems, andando a selezionare tutti i SO Windows (e, visto che andremo a creare un batch file, solo quelli Windows) di nostro interesse
    kscript Manage Operating Systems
  3. Verifichiamo che Windows Run As sia impostato a Local System
    kscript Run As
  4. Nella sezione Dependencies facciamo click su +New Dependency… e carichiamo:

    1. Il certificato Root
    2. Il certificato Intermedio
      kscript Certificati
  5. Facciamo ora click su +Task… nella sezione sottostante ed impostiamo i seguenti passi:

    1. Verify that the file “C:\Tools\certificato.ok” exists (questo ci servirà per fare un check sull’applicazione del certificato, che andremo a schedulare e qundi ad eseguire ad intervalli regolari; se il file certificato.ok esiste allora lo script si interrompe). Per riferimento sul percorso scelto, potete vedere questo mio precedente articolo
    2. On Success: nulla
    3. Remediation: Run the batch file “Install_CA_Root_Script” with params “”
      kscript Script
      Codice:
       @echo off
       start /wait certutil -addstore Root NGIRootCA01.cer
       start /wait certutil -addstore CA NGISSLCA01.cer
       exit
      
    4. On Remediaton Success Launch a program…
      kscript Remediation
  6. Clicchiamo su Save per completare la creazione del kscript

Schedulazione

In caso volessimo schedulare lo script, sarà sufficiente, una volta tornati in editing, andare ad impostare la finestra desiderata. Ad esempio, nel nostro caso lo script verrà eseguito sui devices desiderati ogni tre ore secondo questa logica:

  1. Lo script viene eseguito la prima volta
  2. Al termine, lascia un file “certificato.ok”, di dimensione 0 bytes, in C:\Tools\
  3. Dalla volta seguente (ogni tre ore…) se trova il file “certificato.ok” allora si interrompe e non fa null’altro

kscript Schedule


Tags:
0




© 2018 Cristian Castellari