我想修改我的 Windows USB 安装程序 (Windows 10),以便在 Windows 安装完成后自动在受信任的根证书颁发机构存储中拥有自定义根 CA,或者如果我可以在安装前通过将其注入到设置中来实现这一点就更好了。手动执行此操作对于许多计算机上的安装来说无法扩展。由于许多人创建自定义 ISO,有时甚至在其中插入激活程序,而我通常反对这样做,我认为注入自定义根证书应该不是不可能的。任何帮助都将不胜感激。提前致谢。
答案1
到Sysprep 并安装自定义证书需要 向 Windows 安装程序添加自定义脚本。
您可以在文章中找到一个例子 在映像上创建 Post Sysprep 脚本/批处理文件并复制证书:
复制 C: 盘下的 SSL 证书文件。本例中为“C:\desktone_ca_cert”文件。
在“%WINDIR%\Setup\Scripts”文件夹下创建文件 SetupComplete.cmd。如果“Scripts”文件夹不存在,则创建该文件夹。
在 SetupComplete.cmd 文件中添加以下命令。指纹值是您在步骤 1 中复制的值。
笔记:如果您的证书链中有根证书和中间证书,那么您需要在批处理文件中添加适当的CertUtil 命令。
CertUtil -importPFX -f -p "<password>" "C:\desktone_ca_cert.pfx" reg add "HKLM\SOFTWARE\VMware, Inc.\VMware Blast\Config" /f /v "SslHash" /t REG_SZ /d "31 2a 32 50 1a 0b 34 b1 65 46 13 a8 0a 5e f7 43 6e a9 2c 3e" del /F /Q "C:\desktone_ca_cert.pfx" del /F /Q "%systemroot%\setup\scripts\SetupComplete.cmd"保存 SetupComplete.cmd 文件。您可以在测试机器上测试 SetupComplete.cmd 文件。
您需要做一些研究才能理解这个过程并能够编写自己的过程。