Наш сертификат кодовой подписи от Symantec был преобразован в защищенный паролем pfx с полной цепочкой сертификатов, открытым и закрытым ключом
Подписание с помощью signtool (версия 10.0 .17763.0, x64) работает, когда сертификат вручную импортируется на сервер сборки (Windows Server 2012 R2), но не когда он отправляется с помощью объекта групповой политики с DC (Server 2012 R2)
В обоих сценариях:
Импортируется полная цепочка сертификатов и все сертификаты сведения о DC идентичны сертификату на сервере.
Общая вкладка сертификата на сервере утверждает, что «У вас есть личный ключ, соответствующий этому сертификату '
Моя команда подписи такова:
C: \ Users \ myUser> "C: \ Program Files (x86) \ Windows Kits \ 10 \ bin \ 10.0.17763.0 \ x64 \ signtool .exe "sign / debug / v / a / sm / s Root / n" "/ t http://timestamp.verisign.com/scripts/timstamp.dll MyApp.exe
Результат, когда выполняется после импорта вручную на сервер:
After EKU filter, 40 certs were left.
After expiry filter, 34 certs were left.
After Subject Name filter, 1 certs were left.
After Private Key filter, 1 certs were left.
Результат при выполнении после отправки объекта групповой политики на сервер:
After EKU filter, 40 certs were left.
After expiry filter, 34 certs were left.
After Subject Name filter, 1 certs were left.
After Private Key filter, 0 certs were left.
SignTool Error: No certificates were found that met all the given criteria.
Какова причина После фильтрации закрытого ключа 0 сертификатов осталось ?
Мой gpo для публикации сертификатов был настроен с сертификатом в: Конфигурация компьютера, Политики, Настройки Windows, Настройки безопасности, Политики открытого ключа, Доверенные корневые сертификаты
Чтобы заставить его работать, я также мне пришлось установить тот же сертификат в: Конфигурация компьютера, Политики, Параметры Windows, Параметры безопасности, Политики открытых ключей, Доверенные издатели
. Мне также пришлось включить Конфигурацию компьютера, Политики, Административные шаблоны, Компоненты Windows, Центр обновления Windows, Разрешить подписанные обновления из интрасети. Расположение службы обновлений Microsoft