我正在尝试为某些PS脚本实现签名代码,我对信任证书有疑问。 我知道解决这个问题的“正确”方法是让IT部门使用组策略来信任证书办公室。但我的许多客户都没有真正的选择。我的想法是提供有关使用CertUtil.exe来完成工作的说明,但我希望100%确保以这种方式添加到trustedpublisher仍然会导致证书在启动或登录时由颁发机构验证,因此撤销证书在受信任的发布商中实际上不会被信任,对吗? 另外,假设要运行的工具是一个管理工具,我最初的想法是使用该工具来驱动CertUtil.exe。基本上,当您第一次使用它时,它会添加自己的证书,因此您只能在首次使用时获得一些用户交互。但是,代码为自己创建信任的想法似乎可能是粗略的,如果我穿着我的IT帽子在另一边,我会为我举起一点旗帜。那么,从PS分销模型的角度来看,是建立一个自己认为合适的证书,还是一个禁止的,或者某个灰色区域的东西?
答案 0 :(得分:0)
如果我没记错的话,撤销几乎是立竿见影的,由于预取可能会导致短暂的时间延迟。您可以在此处找到有关如何处理完全撤销的更多信息 - https://technet.microsoft.com/en-us/library/ee619754(v=ws.10).aspx
至于添加自己的证书,我没有看到它的问题,但如果他们需要代码签名的脚本,它将无法进行首次启动,我个人而言#&# 39; d将certutil内容作为单独的脚本(可能是批处理文件)发送,并保留您实际通过所有签名发送的代码。