Concluindo solicitação de certificado via linha de comando no Windows Server

Navegue suas respostas
2

Eu administro vários servidores Windows (principalmente 2008 R2 ou 2012 R2) e tenho que processar muitas renovações de certificados SSL. Quando renovamos de nosso fornecedor, Globalsign, eles geram automaticamente uma solicitação de certificado usada para a renovação. Quando instalo o certificado concluído através da seção Certificados de Servidor no IIS, ele aceita o certificado sem problemas. No entanto, quando tento usar o certreq - aceitar "C: \ certpath.cer" para instalar o certificado concluído, ele retorna um erro como o seguinte:

Processador de solicitação de certificado: não é possível encontrar objeto ou propriedade. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)

Existe alguma maneira de contornar isso sem gerar uma solicitação de certificado no servidor de antemão, ou há outro comando que funcione melhor? O comando acima mencionado funciona se o pedido foi gerado no servidor manualmente, mas o fato de que eu ainda posso obter o certificado instalado com chave privada através da GUI significa que ele deve ser possível através da linha de comando também.

    
por bluegrey 18.01.2016 / 03:29

1 resposta

2

Você escreveu:
... eles geram automaticamente um pedido de certificado usado para o ...
Mas então você pergunta:
Existe alguma maneira de contornar isso sem gerar uma solicitação de certificado no servidor ...

  1. Você está tentando instalar o mesmo certificado em vários servidores?
  2. Você está tomando etapas localmente em seu servidor para iniciar a solicitação do certificado?
  3. Ou você está iniciando o req através do portal da web de fornecedores?
  4. Você está procurando um método para gerar a solicitação local?
  5. Ou um método para instalar o certificado completo que eles enviam a você?

Se você está procurando # 3 e # 5 (possivelmente # 1) ...

Use CERTUTIL.EXE link 

CertUtil -addstore CertificateStoreName InFile
CertUtil -addstore My C:\certpath.cer
certutil -addstore -?

Certutil -addstore Meu padrão é o armazenamento Personal do computador. Adicione "-user" para instalar o certificado na loja atual do usuário.

Ou use o Import-Certificate cmdLet, para servidores com um SO que tenha uma versão nova o suficiente do powershell em que esse cmdLet esteja disponível.
link

    
por 25.01.2016 / 18:24

Tags

É seguro alterar o proprietário da raiz do documento? UAC - Quando definido como "Never notify", ainda tenho um token duplo?