Acesso negado ao importar o certificado na máquina remota

Question

Acesso negado ao importar o certificado na máquina remota

#1 resposta do (2 votos)
#2 resposta do (1 votos)

2

Estou tentando criar um certificado para instalar em várias máquinas. O método que eu criei é:

Invoke-Command ServerName {Import-Certificate -FilePath "path" ' 
CertStoreLocation Cert:\LocalMachine\Root}

E eu recebo:

Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)
    + CategoryInfo          : NotSpecified (:) [Import-Certificate], Exception
    + FullyQualifiedErrorID : System.Exception,Microsoft.CertificationServices.Commands.ImportCertificateCommand
    + PSComputerName        : ServerName

Estou executando meu PowerShell local como administrador e minha conta é um administrador na máquina de destino. E verifiquei que posso instalar certificados.

EDIT: Se eu fizer logon no computador de destino e executar o código no {}, ele funciona bem, mas somente se eu executar como administrador. Então, enquanto na minha máquina eu estou lançando como Administrador, não parece estar traduzindo isso para o alvo.

powershell certificate

por EAndrus 02.11.2015 / 21:27

2 respostas

Tags powershell certificate

O comando SMTP HELO do Windows fornece um erro 500 Command unrecognized, o mesmo comando do Linux retorna Hello Ansible become_user não pegando caminho corretamente

score 2 · Answer 1

O problema que você está enfrentando é a credencial de segundo salto que passa com o controle remoto do PowerShell. Veja o trecho diretamente abaixo do artigo que eu relacionei.

The first hop was from your client to ServerA. The second is from ServerA to the other machine to which you’re trying to connect. The problem arises because your credentials can’t be delegated a second time.

That’s actually a security feature, designed to prevent your credential from being passed around without your knowledge. So your second hop operation fails, because ServerA isn’t able to send any credentials along for the ride.

Existem algumas maneiras de contornar isso, ou seja, copiar o arquivo cert localmente para o servidor que você está importando primeiro, o que você já declarou funciona sem problemas.

Você também pode use o CredSSP para o remoting de segundo salto .

score 1 · Answer 2

Você também pode distribuir certificados para o armazenamento confiável de raízes (e outras lojas) via GPO. O uso desse método tem a vantagem de os certs apropriados estarem em vigor nas novas máquinas à medida que são construídos e unidos ao domínio.

Clique com o botão direito do mouse no nome da loja, importe o arquivo de chave pública, vincule o GPO, aguarde 90 minutos para que o GPO seja atualizado nos destinos.