GPO для добавления цели в корневой сертификат

Корневой сертификат DFN-PKI «T-TeleSec GlobalRoot Class 2» не активирован в хранилище сертификатов Windows для целей сертификата «подписание кода».

Я могу активировать его с помощью certmgr.msc в [Доверенные корневые центры сертификации]> [Сертификаты]> ПКМ на «T-TeleSec GlobalRoot Class 2»> [Выберите подпись кода роли].

У меня есть более 50 компьютеров, на которых требуется этот параметр. В Редактор управления групповой политикой дерево [Конфигурация компьютера] > [Политики] > [Настройки безопасности] > [Политики открытых ключей] > [Доверенные корневые центры сертификации] пустой. Единственная возможная задача — [Импорт сертификата].

Может ли кто-нибудь предложить мне, как добавить роль в сертификат с помощью GPO?

Вы в настоящее время развертываете сертификат с помощью групповой политики? Если нет, то это то, что вам нужно сделать. Создайте объект групповой политики, добавьте сертификат в Компьютер\Параметры Windows\Параметры безопасности\Политики открытого ключа\Доверенные корневые центры сертификации

Затем включите атрибут. Свяжите объект групповой политики с OU, в которой расположены ваши компьютеры.

Когда это будет извлечено целевыми компьютерами, это добавит сертификат в реестр:

HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\Thumbprint!Blob

Вы можете импортировать свой собственный сертификат и выбрать для него нужную роль в Windows [Конфигурация компьютера] > [Политики] > [Настройки безопасности] > [Политики открытого ключа]

Ваша проблема заключается в том, что это публичный сертификат. Вам нужно будет загрузить .cer, если это возможно, и распространить его на свои компьютеры с правильными ролями или просто щелкнуть, чтобы добавить все роли.