Wie können wir helfen?
NAC Zertifikat in WinPe
Um ein Netzwerkzertifikat (z. B. für eine 802.1x-Netzwerkzugriffssteuerung/NAC oder EAP-TLS) in ein Windows PE (WinPE) Boot-Image zu integrieren, müssen Sie das Zertifikat über die DISM-Befehlszeilentools in das bereitgestellte Image „mounten“ oder es dynamisch während des WinPE-Startvorgangs über ein Skript importieren
Methode 1: Direktes Injizieren in das WIM-Image (Empfohlen)
Mit dieser Methode wird das Zertifikat dauerhaft in die Registrierung und den Zertifikatsspeicher des WinPE-Images eingebettet. [1, 2]
1. Vorbereitung:
Stellen Sie sicher, dass Ihr Zertifikat im .cer (oder .crt) Format für Stammzertifikate sowie als .pfx (inklusive privatem Schlüssel) für das Client-Zertifikat vorliegt. Kopieren Sie die Zertifikatsdateien in einen leicht zugänglichen Ordner (z. B. C:\WinPE_Certs). [1, 2]
2. Image bereitstellen (Mounten):
Öffnen Sie die Umgebung für Bereitstellungs- und Imageerstellungstools als Administrator. Nutzen Sie DISM, um das Image zu entpacken: [1]
Dism /Mount-Image /ImageFile:"C:\Pfad_zu_Ihrem_Boot_Image\winpe.wim" /Index:1 /MountDir:"C:\WinPE_mount"
3. Zertifikate importieren:
Laden Sie den Registrierungsschicht der WinPE-Struktur und fügen Sie das Zertifikat hinzu. Alternativ können Sie das Windows-Tool certutil verwenden: [1, 2]
certutil -f -user -importpfx "C:\WinPE_Certs\client_cert.pfx" "IhrPasswort"
4. Änderungen speichern (Commit):
Nach dem Import heben Sie die Bereitstellung auf und speichern die Änderungen: [1, 2]
Dism /Unmount-Image /MountDir:"C:\WinPE_mount" /commit [1]
Methode 2: Automatischer Import beim Systemstart (Skriptbasiert)
Wenn Sie den Zertifikatsimport flexibel halten möchten, fügen Sie die Zertifikate als einfache Dateien zum Image hinzu und lassen sie beim Start automatisch importieren. [1, 2]
- Fügen Sie Ihr
.pfx-Zertifikat und Ihr Root-Zertifikat mit DISM einfach in einen Ordner im Image ein, z. B. nachX:\Certs. - Erstellen Sie eine Batch-Datei
import.cmdund fügen Sie den automatischen Importbefehl hinzu:certutil -f -addstore -user Root "X:\Certs\root_cert.cer"certutil -f -user -importpfx "X:\Certs\client_cert.pfx" "Passwort" - Passen Sie die Datei
startnet.cmdoder die Unattend.xml im WinPE-Image an, damit das Skript beim Start (wpeinit) automatisch ausgeführt wird. [1, 2, 3, 4, 5]
Wichtige Hinweise für NAC/802.1x im WinPE
- Benötigte WinPE-Komponenten: Für die 802.1x-Authentifizierung in WinPE müssen zwingend die optionalen Komponenten WinPE-NetFx und WinPE-Dot3Svc (LAN-Auto-Konfiguration) im Image enthalten sein, da Windows PE standardmäßig keine vollständigen Netzwerkdienste bietet.
- Netzwerkprofil: Neben dem Zertifikat muss über den Befehl
netsh lan add profile ...auch ein XML-Netzwerkprofil in WinPE importiert werden
