我们有一个 Microsoft 企业证书颁发机构,我想开始颁发一些代码签名证书。
但我不确定的是:由于我们所有的域/林机器都信任内部 CA,当我颁发代码签名证书时:所有客户端系统是否都会自动信任代码签名证书来执行任何代码,或者我是否需要将各个用户的代码签名证书添加到客户端的“受信任的人”存储中(就像您对他们的自签名或第三方证书所做的那样)?
答案1
如果您使用受信任的 CA 颁发证书,则所有这些证书都将受到您的机器的信任。您可以查看这一页。
答案2
视情况而定...我以前也是这么想的,但后来我们开始使用 System Center Update Manager。在这种情况下,要使证书受信任,即使它来自您的 CA,也需要将其添加到“受信任的发布者”存储中。
http://mikeshellenberger.wordpress.com/2010/09/02/system-center-updates-publisher-microsoft-pki/
答案3
您想将其添加到“TrustedPublishers”以及“TrustedRoot”
https://www.spreadsheet1.com/how-to-add-certificate-to-trusted-publishers-in-excel.html
certutil -addstore "TrustedPublishers" *.cer