Este artículo explica cómo distribuir certificados de dispositivo utilizados para verificaciones de dispositivo a dispositivos Windows utilizando el programa de línea de comandos Certutil.exe.
Puede distribuir sus certificados corporativos autofirmados a dispositivos Windows en su red utilizando el programa de línea de comandos Certutil.exe. Esto agiliza la distribución de certificados de dispositivo a través de dispositivos, de modo que puede controlar centralmente la implementación de certificados, asegurando medidas de seguridad robustas que se aplican consistentemente.
-
Debe tener permisos de administrador para el ordenador Windows
-
El archivo de certificado debe estar en formato PFX (p12), incluyendo su clave privada
-
El 'emisor' del certificado debe coincidir con el certificado de firma que se carga en la Aplicación de Gestión de Cato
-
Debe instalar el certificado en el administrador de certificados del dispositivo
-
Debe conocer la contraseña que protege la clave (necesaria para instalar el certificado)
-
Los certificados tienen un tamaño máximo permitido de 2048 bytes. Los certificados de un tamaño mayor serán ignorados
Hay varias maneras de instalar un certificado en un dispositivo Windows. El siguiente ejemplo muestra cómo instalar un certificado utilizando el programa de línea de comandos Certutil.
Para importar un certificado con Certutil:
-
Abra el símbolo del sistema como administrador (elevado) y utilice certutil.exe:
certutil -csp "Proveedor de Almacenamiento de Claves de Software de Microsoft" -importpfx My <path-to-p12-file> NoExport
-
Después de ejecutar este comando, se le solicitará la contraseña del archivo p12.
-
Ingrese la contraseña del archivo de certificado. Alternativamente, puede pasar la contraseña en la línea de comandos con la opción -p.
El siguiente comando es un ejemplo de certutil con el parámetro de contraseña:
certutil -csp Proveedor de Almacenamiento de Claves -p <secreto> -importpfx My <path-to-p12-file> NoExport
Notas:
-
La opción NoExport prohíbe la exportación de la clave privada
-
KSP es un alias para Microsoft Software Key Storage Provider
-
La opción -csp se utiliza para especificar dónde se almacena la clave privada. Aunque es opcional, recomendamos que especifique explícitamente el proveedor como el predeterminado
Puede confirmar que el certificado se instala correctamente en el dispositivo con certutil:
certutil -store My
Este comando muestra la información del certificado de la máquina. Si el certificado se instaló correctamente, entonces aparece en esta lista.
Ahora, puede conectarse a la Nube Cato con un certificado de dispositivo.
Cuando el Cliente se conecta correctamente a la Nube Cato, guarda el certificado de dispositivo que se usó por última vez en el registro para futuras conexiones. Esto ayuda a reducir el tiempo de conexión.
0 comentarios
El artículo está cerrado para comentarios.