在我的组织中,所有开发人员都设置为通过自动注册获得代码签名证书。此外,PowerShell 通过组策略配置为要求所有脚本都经过签名。但是,如果没有人工干预,PowerShell 不会信任任何代码签名证书。
我看到了这个如果根 CA 受到信任,代码签名证书是否会自动在整个域中受到信任?并已验证代码签名证书是根证书的子证书,并且根证书在我的组织的所有机器上被列为受信任的 CA。
然而,根据这个https://serverfault.com/a/542179AuthentiCode(PowerShell 用于验证签名的工具)不遵循证书链。因此,我不能简单地添加根证书就完事了。我必须手动添加每个证书。
这引出了我的问题。
如何才能将所有自动注册生成的代码签名证书自动添加到“受信任的发布者”?
我所能找到的只是有关如何使用组策略手动一次执行一个证书的文档。(即http://technet.microsoft.com/en-us/library/cc772491.aspx)。我真的想要一个在创建自动注册证书时无缝进行的自动化流程。我该怎么做?
答案1
在企业环境中这是不可能的。您必须通过组策略手动发布新的代码签名证书:Computer Configuration\Windows Settings\Security Settings\Public Key Services\Trusted Publishers部分。