web-dev-qa-db-ja.com

PowerShellを使用して証明書登録ポリシーを有効にし、証明書を要求する

現在、CEPサーバーに証明書を要求するために次のことを行っています。

  • Gpedit.mscを開きます
  • [コンピューターの構成]> [Windowsの設定]> [セキュリティの設定]> [公開キーのポリシー]で、[証明書サービスクライアント-証明書の登録ポリシー]をダブルクリックします。
  • 有効にする
  • CEP URIを入力してください
  • ユーザー名/パスワード認証に切り替え
  • 検証(信用の提供)
  • MMCを開き、証明書スナップインをインポートします
  • [証明書]> [個人]に移動します
  • 右クリック>新しい証明書のリクエスト
  • 「詳細情報」(CN、DNS名など)を入力します
  • 信用を提供する

この後、CEPから証明書を取得しました。ただし、これは手動で行うには面倒なプロセスです。 Server 2008(および2012)でこれを自動化する方法はありますか?これについて私が見つけることができるすべての情報は、CEPサービスをインストールしてサーバーを登録ポリシーサーバーにする方法を示しています(実際に新しい証明書を要求したり、クライアント側で有効にすることについては何もありません)。これを自動化することは可能ですか?

このプロセスにより、HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptographyの下に多くのデータが追加されるようです。これを手動で追加できますか(GUID/ServiceIDを偽装できますか)?

group-policypowershellcertificatecertificate-authoritypowershell-v3.0
8
EGr

証明書のリクエストはテンプレートを使用して行われたと思います。その場合は、Public Key Policies/Certificate Services Client - Auto-Enrollment Settings GPO自動登録を適用します。また、テンプレートACLにドメインコンピュータまたはドメインユーザー(EnrollAutoEnrollまたは対象とする対象者に応じて任意のaclオブジェクト)プッシュしようとしているマシン証明書またはユーザー証明書であるかどうかに応じて利用するユーザー構成およびコンピューター構成ポリシーがあります。ポリシーがプッシュされるとすぐに登録が始まります(通常約15分)GPOがリンクされて適用された後。

3
Colyn1337

完全な解決策はありませんが、出発点をアドバイスできます。私の PowerShell PKIモジュール には、Windows 7/Windows Server 2008 R2以降の登録サービスエンドポイントを登録する機能があります(Windows Server 2008は登録サービスをサポートしていないことに注意してください)。ポリシーを登録する方法の例を以下に示します。 http://en-us.sysadmins.lv/Lists/Posts/Post.aspx?ID=101

登録に関して。これ ブログ投稿シリーズ は、CertEnroll COMインターフェースを利用してPowerShellで証明書の登録を実行する方法についての洞察を提供します。登録Webサービスについては(残念ながら)何もありませんが、手法は同じです。このインターフェースから始める必要があります: IX509CertificateRequestPkcs10V2

HTH

0
Crypt32