如果根 CA 受到信任,代码签名证书是否会自动在整个域中受到信任?

如果根 CA 受到信任,代码签名证书是否会自动在整个域中受到信任?

我们有一个 Microsoft 企业证书颁发机构,我想开始颁发一些代码签名证书。

但我不确定的是:由于我们所有的域/林机器都信任内部 CA,当我颁发代码签名证书时:所有客户端系统是否都会自动信任代码签名证书来执行任何代码,或者我是否需要将各个用户的代码签名证书添加到客户端的“受信任的人”存储中(就像您对他们的自签名或第三方证书所做的那样)?

答案1

如果您使用受信任的 CA 颁发证书,则所有这些证书都将受到您的机器的信任。您可以查看这一页

答案2

视情况而定...我以前也是这么想的,但后来我们开始使用 System Center Update Manager。在这种情况下,要使证书受信任,即使它来自您的 CA,也需要将其添加到“受信任的发布者”存储中。

http://mikeshellenberger.wordpress.com/2010/09/02/system-center-updates-publisher-microsoft-pki/

答案3

您想将其添加到“TrustedPublishers”以及“TrustedRoot”

https://www.spreadsheet1.com/how-to-add-certificate-to-trusted-publishers-in-excel.html

certutil -addstore "TrustedPublishers" *.cer

相关内容