web-dev-qa-db-fra.com

Activer la politique d'inscription du certificat et demander un certificat à l'aide de PowerShell

En ce moment, je passe ce qui suit pour demander un certificat à partir d'un serveur CEP:

  • Ouvrir gpedit.msc
  • Sous Configuration de l'ordinateur> Paramètres Windows> Paramètres de sécurité> Politiques clés publiques, double-clic "Certificat Services Client - Politique d'inscription du certificat"
  • Permettre
  • Entrez l'URI CEP
  • Basculer vers l'authentification du nom d'utilisateur/mot de passe
  • Valider (fournir des crédits)
  • Ouvrir MMC et les certificats d'importation Snap in
  • Aller aux certificats> Personnel
  • Cliquez avec le bouton droit sur> Demander un nouveau certificat
  • Entrez "Plus d'informations" (Nom du CN, DNS, etc.)
  • Fournir des crédits

Après cela, j'ai un cert du CEP; Cependant, il s'agit d'un processus douloureux à faire manuellement. Y a-t-il un moyen d'automatiser cela dans Server 2008 (et 2012)? Toutes les informations que je peux trouver à propos de cela indique comment installer les services CEP pour créer un serveur un serveur de stratégie d'inscription (rien sur demande en réalité en demandant un nouveau certificat ou l'activer sur le côté du client). Est-il possible d'automatiser cela?

Il semble que ce processus ajoute beaucoup de données sous HKEY_LOCAL_MACHINE\Software\Politiques\Microsoft\Cryptography. Puis-je ajouter manuellement ceci (et spoof un guid/serviceid)?

group-policypowershellcertificatecertificate-authoritypowershell-v3.0
8
EGr

Je suppose que vos demandes de certificat sont effectuées à l'aide d'un modèle. Si tel est le cas, utilisez le Public Key Policies/Certificate Services Client - Auto-Enrollment Settings GPO Pour appliquer l'inscription automatique. Vous voulez également vous assurer que le modèle ACL a Enroll et AutoEnroll marqué pour les ordinateurs de domaine ou les utilisateurs de domaine ( ou quel que soit l'objet ACL, en fonction du public visé), il existe une stratégie de configuration de l'utilisateur et de configuration de l'ordinateur pour exploiter s'il s'agit d'une machine de certificat ou d'un certificat utilisateur que vous essayez de pousser. L'inscription commence dès que lorsque la police est poussée. (généralement environ 15 minutes) après le GPO est lié et appliqué.

3
Colyn1337

Je n'ai pas de solution complète, cependant, je peux conseiller des points de départ. Mon Module PowerShell PKI a la possibilité d'enregistrer le point d'extrémité de service d'inscription commençant par Windows 7/Windows Server 2008 R2 (note que Windows Server 2008 ne prend pas en charge les services d'inscription). Voici un exemple Comment enregistrer une stratégie: http://en-us.sysadminins.lv/lists/posts/post.aspx?id=101

en ce qui concerne les inscriptions. Ceci Blog Putt Series Peut vous donner une idée de la manière d'utiliser les interfaces Certenroll Com pour effectuer une inscription au certificat dans PowerShell. Il n'y a rien sur les services Web d'inscription (malheureusement), mais les techniques sont les mêmes. Vous devrez commencer par cette interface: IX509CERTICERTICAREEQUESTPKCS10V2

Ht

0
Crypt32