Назад | Перейти на главную страницу

Доступ запрещен при импорте сертификата на удаленном компьютере

Я пытаюсь придумать способ выдвинуть сертификат для установки на нескольких машинах. Я придумал следующий метод:

Invoke-Command ServerName {Import-Certificate -FilePath "path" ` 
CertStoreLocation Cert:\LocalMachine\Root}

И я получаю:

Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)
    + CategoryInfo          : NotSpecified (:) [Import-Certificate], Exception
    + FullyQualifiedErrorID : System.Exception,Microsoft.CertificationServices.Commands.ImportCertificateCommand
    + PSComputerName        : ServerName

Я запускаю локальную оболочку PowerShell от имени администратора, и моя учетная запись является администратором на целевой машине. И я подтвердил, что могу устанавливать сертификаты.

РЕДАКТИРОВАТЬ: если я вхожу на целевой компьютер и запускаю код в {}, он работает нормально, но только если я запускаю от имени администратора. Итак, пока на моей машине я запускаю как администратор, похоже, что это не переводит это на цель.

Проблема, с которой вы столкнулись, - это второй прыжок передача учетных данных с помощью удаленного взаимодействия PowerShell. Смотрите отрывок из статьи, на которую я ссылался.

Первый переход был от вашего клиента к ServerA. Второй - от ServerA к другому компьютеру, к которому вы пытаетесь подключиться. Проблема возникает из-за того, что ваши учетные данные нельзя делегировать во второй раз.

На самом деле это функция безопасности, предназначенная для предотвращения передачи ваших учетных данных без вашего ведома. Итак, ваша операция второго прыжка не удалась, потому что ServerA не может отправить какие-либо учетные данные для поездки.

Есть несколько способов обойти это, а именно скопировать файл сертификата локально на сервер, который вы сначала импортируете, что, как вы уже заявили, работает без проблем.

Вы также можете использовать CredSSP для удаленного взаимодействия на втором этапе.

Вы также можете распространять сертификаты в хранилище доверенных корней (и в другие хранилища) через GPO. Преимущество использования этого метода состоит в том, что на новых машинах устанавливаются соответствующие сертификаты по мере их создания и присоединения к домену.

Щелкните правой кнопкой мыши имя хранилища, импортируйте файл открытого ключа, свяжите объект групповой политики, подождите 90 минут, пока объект групповой политики обновится на целевых объектах.