Hallo zusammen,
ich habe in einer Windows2008R2 Umgebung eine eigene PKI mit einer Stammzertifizierungsstelle und einer Zwischenzertifizierungsstelle, welche so weit auch funktioniert.
Nun möchte ich die ExecutionPolicy für PowerShell-Skripte auf „AllSigned“ stellen, damit nur noch von bestimmten Entwicklern signierte Skripte auf den Clients der Domäne ausgeführt werden können.
Im AD wurde dazu eine Gruppe mit den jeweiligen Entwicklern erstellt, welche Codesign-Zertifikate bei der PKI beantragen können - auch dies funktioniert und die Entwickler können Ihre Skripte damit auch signieren.
Nun habe ich jedoch folgendes Problem:
Ich möchte nicht jedes einzelne Zertifikat jedes einzelnen Entwicklers im Zertifikatsspeicher „vertrauenswürdige Herausgeber“ ablegen. Lieber wäre mir, wenn grundsätzlich jedem Codesign-Zertifikat vertraut wird, welches von der PKI ausgestellt wurde.
Dies scheint jedoch nicht zu funktionieren, wenn ich das Zertifikat der Zwischenzertifizierungsstelle in die vertrauenswürdigen Herausgeber setze. Auf dem Client wird beim Ausführen der Skripte nachgefragt, ob man dies wirklich möchte, da dem Herausgeber nicht vertraut wird - für einen automatischen Ablauf leider unbrauchbar.
Kann man irgendwie grundsätzlichen allen Codesign-Zertifikaten der eigenen PKI vertrauen?
Danke und Gruß