如何自动注册代码签名证书

Question

在我的组织中，所有开发人员都可以通过自动注册获得代码签名证书。此外，组策略还将PowerShell配置为要求对所有脚本进行签名。但是，PowerShell不信任任何未经手动干预的代码签名证书。

我看到了这个如果根CA受信任，代码签名证书是否会在域内自动信任？，并验证了代码签名证书是根的子级，并且根在我的组织中的所有机器上都被列为受信任的CA。

但是，根据这个https://serverfault.com/a/542179 AuthentiCode ( PowerShell用于验证签名的内容)并不遵循证书链。因此，我不能简单地添加一个根并完成。我必须手动添加每个证书。

从而引出我的问题。

如何使自动注册生成的代码签名证书自动添加到“受信任的发布服务器”？

我所能找到的只是关于如何手动使用组策略一次一个证书的文档。(即http://technet.microsoft.com/en-us/library/cc772491.aspx)。我真的想要一个自动过程，当自动注册证书创建时，这个过程会无缝地发生。我怎么能这么做？

Answer 1

在企业环境中，这是不可能的。您必须通过组策略手动发布新的代码签名证书：Computer Configuration\Windows Settings\Security Settings\Public Key Services\Trusted Publishers部分。