Прямо сейчас я делаю следующее, чтобы запросить сертификат с сервера CEP:
После этого у меня есть сертификат CEP; однако это болезненный процесс, выполняемый вручную. Есть ли способ автоматизировать это в Server 2008 (и 2012)? Вся информация, которую я могу найти об этом, рассказывает, как установить службы CEP, чтобы сделать сервер сервером политики регистрации (ничего о фактическом запросе нового сертификата или его включении на стороне клиента). Можно ли это автоматизировать?
Похоже, этот процесс добавляет много данных в HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Cryptography. Могу ли я вручную добавить это (и подменить GUID / ServiceID)?
Я предполагаю, что ваши запросы на сертификат сделаны с использованием шаблона. В этом случае используйте Public Key Policies/Certificate Services Client - Auto-Enrollment Settings GPO для принудительной автоматической регистрации. Вы также захотите убедиться, что в ACL шаблона есть Enroll и AutoEnroll отмечены либо для компьютеров домена, либо для пользователей домена (или любого другого объекта acl, в зависимости от целевой аудитории). Существует конфигурация пользователя и политика конфигурации компьютера, которые можно использовать в зависимости от того, является ли это сертификат компьютера или сертификат пользователя, который вы пытаетесь отправить. Регистрация начинается, как только политика отправляется (обычно около 15 минут) после связывания и принудительного применения объекта групповой политики.
Это процесс, который я использовал в Windows 2012 R2 и выше. Весь код PowerShell запускался из командной строки PowerShell с повышенными привилегиями. Полная автоматизация оставлена в качестве упражнения для пользователя.
Убедитесь, что у вас есть шаблон на вашем сервере сертификатов, для которого на вкладке «Тема» выбран переключатель «Поставка в запросе». Поскольку это не машина AD, сервер сертификатов не может адекватно запрашивать информацию в Active Directory.
Экспортируйте сертификат доверенного корневого центра сертификации на свой сервер сертификатов, а затем скопируйте этот файл сертификата на целевой сервер.
certutil --% -ca.cert <name of certificate file>
Импортируйте этот сертификат в доверенный корневой центр сертификации на целевом сервере.
$PathToCertificate=<name of certificate file>
$RootCertificate=Get-PfxCertificate -FilePath $PathToCertificate
$AlreadyExists=Get-ChildItem -Path "Cert:\LocalMachine\Root" | Where-Object { $_.Thumbprint -eq $RootCertificate.Thumbprint }
if ($AlreadyExists -eq $null) { Import-Certificate -CertStoreLocation "Cert:\LocalMachine\Root" -FilePath $PathToCertificate }
else { Write-Warning "Root certificate already installed" }
Определите URL-адрес поставщика политики Active Directory
# Get AD Configuration Context
$RootDSE=[System.DirectoryServices.DirectoryEntry]::new("LDAP://RootDSE")
$ConfigContext="CN=Enrollment Services,CN=Public Key Services,CN=Services,"+$RootDSE.configurationNamingContext
# Get name of Enterprise Root Certificate Autority server
$Server=Get-ADObject -SearchBase $ConfigContext -Filter "*"
if ($Server.Count -eq 1) { throw "No Enterprise Root Certificate Autority server exists" }
else { $Server=$Server[1].Name }
# Get Enrollment URL
$ConfigContext="CN=$Server,"+$ConfigContext
$EnrollmentURL=(Get-ADObject -SearchBase $ConfigContext -Filter "*" -Properties "msPKI-Enrollment-Servers" | Select-Object -ExpandProperty "msPKI-Enrollment-Servers").Split("`n") | Where-Object { $_ -like "http*" }
if ($EnrollmentURL -eq $null) { $EnrollmentURL="" }
# Get AD Enrollment Policy URL
$Server=$Server+$RootDSE.configurationNamingContext.Value.Replace("CN=Configuration","").Replace(",DC=",".")
$WMI=Get-WmiObject -ComputerName $Server -Namespace "root\WebAdministration" -Class Application | Where-Object { $_.Path -eq "/ADPolicyProvider_CEP_UsernamePassword" }
if ($WMI -ne $null) { $PolicyURL="https://"+$Server+$WMI.Path+"/service.svc/CEP" }
else { $PolicyURL="" }
Write-Output "Enrollment URL = $EnrollmentURL"
Write-Output "Policy URL = $PolicyURL"
Добавьте политику регистрации на целевой сервер (это работает только в Windows 2012 и выше. Инструкции по графическому интерфейсу см. Ниже). Убедитесь, что политика добавлена после создания шаблона, не относящегося к домену, в противном случае он не появится, поскольку политика не обновляется.
$User="<your domain name>\<your domain user name>"
$Pass="<Your domain password>"
$SecPass=ConvertTo-SecureString -String $Pass -AsPlainText -Force
$Cred=[System.Management.Automation.PSCredential]::new($User,$SecPass)
Add-CertificateEnrollmentPolicyServer -Url $PolicyURL -context Machine -NoClobber -AutoEnrollmentEnabled -Credential $Cred
Теперь у вас должна быть возможность подать заявку на сертификат, используя желаемый шаблон.
$DNS="<FQDN of your server>"
$URL=Get-CertificateEnrollmentPolicyServer -Scope All -Context Machine | Select-Object -ExpandProperty Url | Select-Object -ExpandProperty AbsoluteUri
$Enrollment=Get-Certificate -Url $URL -Template "<Template name (not display name)>" -SubjectName "CN=$DNS" -DnsName $DNS -Credential $Cred -CertStoreLocation cert:\LocalMachine\My
$Enrollment.Certificate.FriendlyName=$DNS
У меня нет полного решения, но я могу посоветовать начальные точки. Мой Модуль PKI PowerShell имеет возможность регистрировать конечную точку службы регистрации, начиная с Windows 7 / Windows Server 2008 R2 (обратите внимание, что Windows Server 2008 не поддерживает службы регистрации). Вот пример того, как зарегистрировать политику: http://en-us.sysadmins.lv/Lists/Posts/Post.aspx?ID=101
относительно зачисления. это серия сообщений в блоге может дать вам некоторое представление о том, как использовать COM-интерфейсы CertEnroll для выполнения регистрации сертификатов в PowerShell. Нет ничего о веб-сервисах регистрации (к сожалению), но методы те же. Вам нужно будет начать с этого интерфейса: IX509CertificateRequestPkcs10V2
HTH