Solicitar um certificado pessoal no Windows automaticamente

Navegue suas respostas
1

Fui encarregado de criar uma autoridade de certificação (CA) do Windows Server 2012 em nosso domínio e usá-la para criar um certificado pessoal para nossos usuários. O objetivo do certificado é poder assinar arquivos PDF

Eu criei a CA e criei um novo modelo chamado "Assinatura de PDF" com todas as opções de que preciso. Agora, a única coisa que resta é realmente criar o certificado para nossos usuários.

Até agora eu vi 3 métodos para fazer isso:

  1. Execute o certmgr, clique com o botão direito do mouse em Personal- > Certificados e solicite um certificado. Siga o assistente e escolha o modelo "PDF Signing". Não sei se esse método exige que o usuário seja administrador.
  2. Instale o recurso da função de inscrição na web e aponte os usuários para o website. Ironicamente, eu acho que a interface do usuário é mais complexa que a do certmgr
  3. Versão da linha de comando (certreq)

Existe uma maneira de automatizar esse processo? A versão da linha de comando requer um arquivo .ini e fornece a senha, o que complica a automação.

Estou preso explicando aos usuários como usar o certmgr? Nossos usuários não têm nenhum tipo de privilégio, nem mesmo o administrador local. Ou existe outro método que eu não vi?

    
por fjleon 11.10.2016 / 15:26

1 resposta

3

Esse recurso é chamado de Registro automático de certificado: Configurar registro automático de certificado

só para observar: não use inscrição na web, ela está muito desatualizada e tem uma funcionalidade muito limitada.

Editar: Veja como funciona o registro automático.

  1. Cada vez que as políticas de grupo são atualizadas nos clientes (nos membros do domínio é de cerca de 90min +/-, nos controladores de domínio é 15 ou 5 minutos, dependendo do nível funcional), ele aciona o registro automático.
  2. O registro automático verifica todos os modelos de certificado do Active Directory e seleciona aqueles em que a conta de usuário atual (ou grupo) possui permissões de Leitura e Registro automático.
  3. O registro automático localiza CAs corporativas disponíveis em uma floresta do Active Directory e verifica se a CA oferece suporte a modelos de certificado selecionados na etapa 2.
  4. O registro automático examina o armazenamento de certificados local e verifica se há certificados válidos com base nos modelos selecionados na etapa 3. Se houver um certificado ausente, o registro automático executará o registro de certificado silencioso.

Embora a lógica seja mais complexa, essas informações são suficientes para você entender como os modelos são selecionados, em outras palavras, por meio de permissões e disponibilidade de modelos de certificado no servidor da CA.

    
por 11.10.2016 / 16:26

Tags

Protegendo a LAN com fio dos sniffers de pacotes Atualize o Windows Server 2008R2 para suportar o SNI [duplicado]