<div class="gmail_quote">On Fri, Jan 21, 2011 at 10:33 PM, Alan Buxey <span dir="ltr"><<a href="mailto:A.L.M.Buxey@lboro.ac.uk">A.L.M.Buxey@lboro.ac.uk</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;"><div class="im">
>    2) Issuing client certs isn't that difficult.� with windows vista/7,<br>
>    installing a cert is a simple double-click operation, so if they have a<br>
>    usb flash, you can use linux to zip a copy of their private key and a .doc<br>
>    with instructions (including screenies!) on configuring their OS in a<br>
>    matter of seconds, all they have to do is stop by IT to request a key<br>
>    once, and it's good for as long as you honour it.<br>
<br>
</div>if dealing with client keys - most of the times its just PEAP with user/pass<br>
and its the CA thats an issue.  even then there are ways of doing this quite<br>
easily... eg <a href="https://su1x.sf.net" target="_blank">https://su1x.sf.net</a><br></blockquote><div><br>I also quite like using the root certificates tool which happily imports certificates into the root certificate store in windows.<br>
<br>Go to here: <a href="http://support.microsoft.com/kb/931125">http://support.microsoft.com/kb/931125</a><br><br>Download the "<span class="ll"><a href="http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe">rootsupd.exe</a></span><span class="pLink">" from there and expand it with winzip or winrar.<br>
<br>Then convert your DER file into a P7B using OpenSSL:<br><br>openssl crl2pkcs7 -nocrl -certfile internalca1.der -certfile internalca2.der -out internalca.p7b<br><br>Then use "updroots.exe" included in the exe to import the certificate into your local certificate chain:<br>
<br>updroots -l internalca.p7b<br><br>And you're done<br><br>You can even use "iexpress" if you're running windows XP to re-package everything back into a self extracting exe.<br></span></div></div>