使用 Certutil 向 Windows 设备分发设备证书

本文解释了如何使用 Certutil.exe 命令行程序向 Windows 设备分发用于设备检查的设备证书。

概述

您可以使用 Certutil.exe 命令行程序向您网络中的 Windows 设备分发企业自签名证书。 这简化了在设备间分发设备证书的流程,以便您可以集中控制证书部署,从而确保始终实施稳固的安全措施。

先决条件

  • 您必须拥有 Windows 计算机的管理员权限

  • 证书文件必须为包括其私钥在内的 PFX (p12) 格式

  • 证书的‘发行人’必须与上传到 Cato 管理应用程序的签名证书匹配

  • 您必须将证书安装到设备的证书管理器中

  • 您必须知道保护密钥的密码(安装证书所需)

  • 证书的最大允许大小为 2048 字节。 超过该大小的证书将被忽略

安装设备证书

有几种方法可以在 Windows 设备上安装证书。 以下示例展示了如何使用 Certutil 命令行程序安装证书。

用 Certutil 导入证书:

  1. 以管理员(提升权限)身份打开命令提示符并使用 certutil.exe:

    certutil -csp "Microsoft Software Key Storage Provider" -importpfx My <path-to-p12-file> NoExport

  2. 运行此命令后,提示您输入 p12 文件的密码。

  3. 输入证书文件密码。 或者,您可以在命令行中使用 -p 选项传递密码。

    以下命令是带有密码参数的 certutil 示例:

    certutil -csp KSP -p &lt;secret&gt; -importpfx My <path-to-p12-file> NoExport

注意:

  • NoExport 选项禁止导出私钥

  • KSP 是 Microsoft Software Key Storage Provider 的一个别名

  • -csp 选项用于指定私钥的存储位置。 虽然它是可选的,但我们建议您明确指定提供商为默认

验证证书安装

您可以确认证书是否已成功安装在设备上,方法是使用 certutil:

certutil -store My

此命令列出了机器的证书信息。 如果证书已成功安装,则会出现在此列表中。

现在,您可以使用设备证书连接到 Cato 云。

当客户端成功连接到 Cato 云时,最后使用的设备证书会保存在注册表中,以便将来连接。 这有助于减少连接时间。

这篇文章有帮助吗?

1 人中有 1 人觉得有帮助

0 条评论