Na minha organização, todos os desenvolvedores estão configurados para receber um certificado de assinatura de código por meio do registro automático. Além disso, o PowerShell é configurado pela diretiva de grupo para exigir que todos os scripts sejam assinados. No entanto, o PowerShell não confia em nenhum dos certificados de assinatura de código sem intervenção manual.
Eu vi estes Os certificados de assinatura de código confiam automaticamente em todo o domínio se a CA raiz é confiável? e verificaram se o Código Os certificados de assinatura são filhos da raiz e a raiz é listada como uma CA confiável em todas as máquinas da minha organização.
No entanto, de acordo com este link , o AuthentiCode (o que o PowerShell usa para validar assinaturas) não segue as cadeias de certificados. Então, eu não posso simplesmente adicionar uma raiz e ser feito. Eu tenho que adicionar cada certificado manualmente.
Assim, levando a minha pergunta.
Como posso obter todos os certificados de assinatura de código gerado por Inscrição automática adicionados automaticamente a "Editores confiáveis"?
Tudo o que consegui encontrar é a documentação sobre como fazer isso com um certificado de política de grupo de cada vez, manualmente. (por exemplo, link ). Eu realmente quero um processo automatizado que acontece perfeitamente quando o certificado de inscrição automática é criado. Como posso fazer isso?
Em ambientes corporativos, isso não é possível. Você precisará publicar novos certificados de assinatura de código por meio de políticas de grupo manualmente: Computer Configuration\Windows Settings\Security Settings\Public Key Services\Trusted Publishers section.