Автоматизированное добавление личных и корневых сертификатов в среде Windows

Имеется терминальный сервер для пользователей, которые работают на порталах по закупкам. Задача - автоматизировать установку сертификатов личных и доверенных корневых центров.
Пробросить флешку/смарт-карту с сертификатом и ключами в терминал можно легко, поставив галку в свойствах rdp-подключения:
rdp-terminal-smart

Далее создаем групповую политику, цепляем её к OU, в которой находится учетная запись компьютера-терминала и добавляем нужные доверенные корневые сертификаты сюда:
Computer Configuration – Policies – Windows Settings – Security Settings – Public Key Policies - Trusted Root Certification Authoritiesshow

Добавить личный сертификат для каждого пользователя можно, создав logon-скрипт и поместив его в групповую политику, созданную ранее в User Configuration - Policies - Windows Settings - Scripts - Logon. Скрипт:

certutil -addstore -user -f “My” \\server\personal.cer

В групповой политике обязательно включите опцию Loopback Processing Mode (Замыкание на себя) - "Конфигурация компьютера\Административные шаблоны\Система\Групповая политика", чтобы настройки юзера применялись ко всем, кто заходит на терминальный сервер.

Примеры команд для работы с certutil:

Добавить личный сертификат пользователя в личное хранилище:

certutil -user -addstore My "filename.cer"

Добавить сертификат в личное хранилище компьютера (для всех пользователей):

certutil -addstore "My" "filename.cer"

Добавить сертификат в доверенные корневые центры сертификации (для всех пользователей):

certutil -addstore "Root" "filename.cer"

Добавить сертификат в промежуточные центры сертификации (для всех пользователей):

certutil -addstore "CA" "filename.cer"

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *