distribución automática de certificado

4 de enero de 2008

Si tenemos un entorno con Active Directory y queremos hacer una distribución automática de un certificado por todas las maquinas de nuestra red podemos utilizar este sistema. La idea es que todas las maquinas de mi red puedan tener un certificado Web generado por uno mismo para entrar en la Intranet, el Webmail o donde sea.
Para conseguir esto haremos que todos los usuarios del AD ejecuten un script para cargar el certificado dentro de su almacén de "Entidades de certificación raíz de confianza". En mi caso los scripts de usuario están escritos en Windows Script Host.

Las lineas que necesitamos son:

Set wshShell = WScript.CreateObject("WScript.Shell")
wshShell.Run "\\server\sysvol\domain\scripts\certutil.exe -addstore root \\server\sysvol\domain\scripts\mi_certificado.cer,1,TRUE"


Por ultimo necesitaremos copiar dentro de "sysvol\script" los siguientes archivos: cerutil.exe, certreq.exe, certadm.dll, certcli.dll, certmgr.dll y por ultimo el certificado que queremos instalar. De esta forma al entrar en el dominio estaran disponibles. La certutil es una utilidad de Windows 2003 Server que forma parte del Certificate Server y lo podéis encontrar dentro de windows/system32.