Windows Server CA может разделить ключи подписывания кода от ключей для других целей?
Да. Вы можете создать сертификат, который подходит только для подписи кода. Вы даже можете автоматически зарегистрировать членов вашей группы для получения этого сертификата, чтобы они получали его автоматически, если вы используете службы сертификатов Active Directory в домене.
Обратите внимание на «Подписание кода» в столбце «Предполагаемые цели». Такой сертификат нельзя использовать для аутентификации сервера, шифрования EFS и т. Д. Вы можете изменить безопасность этого шаблона сертификата так, чтобы только определенные пользователи домена (например, ваша команда разработчиков) имели право на получение такого сертификата.
Я написал подробнее о подписании скриптов Powershell здесь и здесь .
Чтобы расширить ответ Райана ..
Да, вы можете создать сертификат подписи кода, единственная цель которого - подписать AuthentiCode. И Райан указывает вам прямо на шаблон для этого. Вам нужно будет создать тип сертификата из этого шаблона и сделать его доступным для регистрации, но ваш администратор CA может сделать это довольно быстро (пара минут плюс все имеющиеся у вас средства контроля изменений).
Следующий Важной частью является публикация всех выпущенных сертификатов на всех ваших компьютерах. Это можно сделать с помощью групповой политики, просто добавьте отдельные сертификаты для каждого человека, подписывающего код, в хранилище «доверенных издателей» на компьютерах.
Опять же, очень быстрое изменение, которое ваш администратор (-ы) AD / GPO может выполнить в всего несколько минут. Кикер заключается в том, что вы должны делать это для каждой подписывающей стороны, поскольку доверие AuthentiCode не следует цепочкам доверия. (читайте: дизайн таков, что вы должны доверять каждому издателю / подписывающей стороне индивидуально, чтобы никто не купил сертификат из доверенного корневого источника и опубликовал худший вирус в мире как надежное программное обеспечение)