Доступ запрещен. Импорт сертификата на удаленном компьютере
I ' m пытается придумать способ выдвинуть сертификат для установки на нескольких машинах. Я придумал следующий метод:
Invoke-Command ServerName {Import-Certificate -FilePath "path" `
CertStoreLocation Cert:\LocalMachine\Root}
И я получаю:
Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)
+ CategoryInfo : NotSpecified (:) [Import-Certificate], Exception
+ FullyQualifiedErrorID : System.Exception,Microsoft.CertificationServices.Commands.ImportCertificateCommand
+ PSComputerName : ServerName
Я запускаю локальную оболочку PowerShell от имени администратора, и моя учетная запись является администратором на целевой машине. И я подтвердил, что могу устанавливать сертификаты.
РЕДАКТИРОВАТЬ: Если я вхожу на целевой компьютер и запускаю код в {}, он работает нормально, но только если я запускаю от имени администратора. Итак, пока на своей машине я запускаю как администратор, похоже, это не переводит это на целевой объект.
Проблема, с которой вы столкнулись, связана с передачей учетных данных второго прыжка при удаленном взаимодействии PowerShell. См. Непосредственно отрывок из статьи, на которую я ссылаюсь.
Первый переход был от вашего клиента к ServerA. Второй от ServerA на другой компьютер, к которому вы пытаетесь подключиться. В проблема возникает из-за того, что ваши учетные данные нельзя передать вторую времени.
На самом деле это функция безопасности, призванная не допустить учетные данные от передачи без вашего ведома. Так что ваши операция второго прыжка не выполняется, потому что ServerA не может отправить учетные данные для поездки.
Есть несколько способов обойти это, а именно скопировать файл сертификата локально на сервер, который вы импортируете первым, что, как вы уже заявили, работает без проблем.
Вы также можете использовать CredSSP для удаленного взаимодействия на втором переходе .
Вы также можете распространять сертификаты в хранилище доверенных корней (и в другие хранилища) через GPO. Преимущество использования этого метода состоит в том, что на новых машинах устанавливаются соответствующие сертификаты по мере их создания и присоединения к домену.
Щелкните правой кнопкой мыши имя хранилища, импортируйте файл открытого ключа, свяжите объект групповой политики, подождите 90 минут для объекта групповой политики. , чтобы обновить цели.
