В моей организации все разработчики настроены на получение сертификата подписи кода через автоматическую регистрацию. Кроме того, PowerShell настроен групповой политикой, чтобы требовать подписи всех сценариев. Однако PowerShell не доверяет никаким сертификатам подписи кода без ручного вмешательства.
я видел это Являются ли сертификаты подписи кода автоматически доверенными в домене, если доверенный корневой центр сертификации? и подтвердили, что сертификаты подписи кода являются дочерними по отношению к корню, и что корень указан как доверенный ЦС на всех машинах в моей организации.
Однако согласно этому https://serverfault.com/a/542179 AuthentiCode (то, что PowerShell использует для проверки подписей) не следует цепочкам сертификатов. Итак, я не могу просто добавить рут и все готово. Приходится добавлять каждый сертификат вручную.
Это приводит к моему вопросу.
Как я могу сделать так, чтобы все сертификаты подписи кода, созданные при автоматической регистрации, автоматически добавлялись в «Доверенные издатели»?
Все, что мне удалось найти, - это документация о том, как сделать это с помощью групповой политики по одному сертификату за раз, вручную. (т.е. http://technet.microsoft.com/en-us/library/cc772491.aspx). Я действительно хочу, чтобы автоматизированный процесс происходил без проблем при создании сертификата автоматической регистрации. Как я могу это сделать?
В корпоративных средах это невозможно. Вам придется публиковать новые сертификаты подписи кода через групповые политики вручную: Computer Configuration\Windows Settings\Security Settings\Public Key Services\Trusted Publishers раздел.