Ative a Política de Inscrição de Certificados e Solicite um Cert usando o PowerShell

8

Neste momento, estou fazendo o seguinte para solicitar um certificado de um servidor CEP:

  • Abra gpedit.msc
  • Em Configuração do computador > Configurações do Windows > Configurações de segurança > Políticas de chave pública, clique duas vezes em "Cliente de serviços de certificado - Política de registro de certificado"
  • Ativar
  • Insira o URI do CEP
  • Mudar para autenticação de nome de usuário / senha
  • Validar (fornecer créditos)
  • Abra o MMC e importe os certificados em
  • Ir para Certificados > Pessoal
  • Clique com o botão direito > Solicitar novo certificado
  • Insira "mais informações" (CN, nome DNS, etc.)
  • Fornecer Créditos

Depois disso, eu tenho um certificado do CEP; no entanto, esse é um processo doloroso de se fazer manualmente. Existe alguma maneira de automatizar isso no Server 2008 (e 2012)? Todas as informações que eu posso encontrar sobre isso informa como instalar os serviços CEP para tornar um servidor um servidor de diretiva de inscrição (nada sobre realmente solicitar um novo certificado ou ativá-lo no lado do cliente). É possível automatizar isso?

Parece que esse processo adiciona muitos dados em HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Cryptography. Posso adicionar manualmente isso (e falsificar um GUID / ServiceID)?

    
por EGr 15.12.2014 / 23:45

2 respostas

3

Presumo que suas solicitações de certificado sejam feitas usando um modelo. Se for esse o caso, use o Public Key Policies/Certificate Services Client - Auto-Enrollment Settings GPO para impor o registro automático. Você também desejará garantir que o modelo ACL tenha Enroll e AutoEnroll marcado para computadores de domínio ou usuários de domínio (ou qualquer objeto acl, dependendo do público-alvo) Há uma política de configuração de usuário e configuração de computador para aproveitar dependendo seja ou não um certificado de máquina ou certificado de usuário que você está tentando impor. A inscrição começa assim que a política é enviada (geralmente cerca de 15 minutos) depois que o GPO é vinculado e aplicado.

    
por 17.12.2014 / 19:45
0

Não tenho uma solução completa, no entanto, posso aconselhar os pontos de partida. Meu módulo PKI do PowerShell tem a capacidade de registrar o endpoint do serviço de inscrição a partir do Windows 7 / Windows Server 2008 R2 (observe que o Windows Server 2008 não suporte a serviços de inscrição). Veja um exemplo de como registrar uma política: link

em relação à inscrição. Essa série de postagens do blog pode fornecer algumas dicas sobre como utilizar interfaces COM CertEnroll para executar o registro de certificado no PowerShell. Não há nada sobre serviços da web de inscrição (infelizmente), mas as técnicas são as mesmas. Você precisará começar com essa interface: IX509CertificateRequestPkcs10V2

HTH

    
por 16.12.2014 / 08:06