Zum Hauptinhalt springen

NAC Zertifikat in WinPe

Du bist hier:
< Alle Themen

Um ein Netzwerkzertifikat (z. B. für eine 802.1x-Netzwerkzugriffssteuerung/NAC oder EAP-TLS) in ein Windows PE (WinPE) Boot-Image zu integrieren, müssen Sie das Zertifikat über die DISM-Befehlszeilentools in das bereitgestellte Image „mounten“ oder es dynamisch während des WinPE-Startvorgangs über ein Skript importieren

Methode 1: Direktes Injizieren in das WIM-Image (Empfohlen)

Mit dieser Methode wird das Zertifikat dauerhaft in die Registrierung und den Zertifikatsspeicher des WinPE-Images eingebettet. [1, 2]

1. Vorbereitung:
Stellen Sie sicher, dass Ihr Zertifikat im .cer (oder .crt) Format für Stammzertifikate sowie als .pfx (inklusive privatem Schlüssel) für das Client-Zertifikat vorliegt. Kopieren Sie die Zertifikatsdateien in einen leicht zugänglichen Ordner (z. B. C:\WinPE_Certs). [1, 2]

2. Image bereitstellen (Mounten):
Öffnen Sie die Umgebung für Bereitstellungs- und Imageerstellungstools als Administrator. Nutzen Sie DISM, um das Image zu entpacken: [1]

Dism /Mount-Image /ImageFile:"C:\Pfad_zu_Ihrem_Boot_Image\winpe.wim" /Index:1 /MountDir:"C:\WinPE_mount"

3. Zertifikate importieren:
Laden Sie den Registrierungsschicht der WinPE-Struktur und fügen Sie das Zertifikat hinzu. Alternativ können Sie das Windows-Tool certutil verwenden: [1, 2]

certutil -f -user -importpfx "C:\WinPE_Certs\client_cert.pfx" "IhrPasswort"

4. Änderungen speichern (Commit):
Nach dem Import heben Sie die Bereitstellung auf und speichern die Änderungen: [1, 2]

Dism /Unmount-Image /MountDir:"C:\WinPE_mount" /commit [1]


Methode 2: Automatischer Import beim Systemstart (Skriptbasiert)

Wenn Sie den Zertifikatsimport flexibel halten möchten, fügen Sie die Zertifikate als einfache Dateien zum Image hinzu und lassen sie beim Start automatisch importieren. [1, 2]

  1. Fügen Sie Ihr .pfx-Zertifikat und Ihr Root-Zertifikat mit DISM einfach in einen Ordner im Image ein, z. B. nach X:\Certs.
  2. Erstellen Sie eine Batch-Datei import.cmd und fügen Sie den automatischen Importbefehl hinzu:
    certutil -f -addstore -user Root "X:\Certs\root_cert.cer"
    certutil -f -user -importpfx "X:\Certs\client_cert.pfx" "Passwort"
  3. Passen Sie die Datei startnet.cmd oder die Unattend.xml im WinPE-Image an, damit das Skript beim Start (wpeinit) automatisch ausgeführt wird. [1, 2, 3, 4, 5]

Wichtige Hinweise für NAC/802.1x im WinPE

  1. Benötigte WinPE-Komponenten: Für die 802.1x-Authentifizierung in WinPE müssen zwingend die optionalen Komponenten WinPE-NetFx und WinPE-Dot3Svc (LAN-Auto-Konfiguration) im Image enthalten sein, da Windows PE standardmäßig keine vollständigen Netzwerkdienste bietet.
  2. Netzwerkprofil: Neben dem Zertifikat muss über den Befehl netsh lan add profile ... auch ein XML-Netzwerkprofil in WinPE importiert werden

Inhaltsverzeichnis