У нас есть центр сертификации предприятия Microsoft, и я хотел бы начать выпуск нескольких сертификатов для подписи кода.
Но в чем я не уверен, так это в следующем: поскольку все наши машины домена / леса доверяют внутреннему ЦС, когда я выдаю сертификаты подписи кода: будут ли все клиентские системы автоматически доверять сертификатам подписи кода для выполнения любого кода, или мне нужно добавить сертификаты подписи кода отдельных пользователей в хранилище доверенных лиц клиентов (как вы могли бы сделать с их самозаверяющими или сторонними сертификатами)?
Если вы выпускаете сертификаты с помощью доверенного центра сертификации, то все эти сертификаты будут доверять вашим машинам. Вы можете посмотреть на эта страница.
Вы хотите добавить это в «TrustedPublishers», а также в «TrustedRoot»
https://www.spreadsheet1.com/how-to-add-certificate-to-trusted-publishers-in-excel.html
certutil -addstore "TrustedPublishers" *.cer
Это зависит ... Раньше я так думал, но потом мы начали использовать System Center Update Manager. Чтобы в этом случае сертификату можно было доверять, его необходимо добавить в магазин «Доверенные издатели», даже если он получен из вашего центра сертификации.
http://mikeshellenberger.wordpress.com/2010/09/02/system-center-updates-publisher-microsoft-pki/