Distribuindo Certificado Digital A1 Via GPO
Nesse artigo vamos mostrar como distribuir certificados digitais via GPO. Muitas empresas procuram uma forma de distribuir esses certificados de modo centralizado e sem precisar passar informações de segurança para o usuário final. Esse procedimento automatiza e centraliza todos os seus certificados digitais e ainda distribuí de forma rápida para diferentes tipos de departamentos conforme sua necessidade.
Para que esse procedimento funcione, você deve possuir um domínio (Active Directory) com sua saúde 100%, dois scripts e seus certificados A1. Veja na imagem abaixo o que iremos utilizar para que essa distribuição tenha sucesso:
Importante: Você deve escolher um caminho para compartilhamento e dar as permissões necessárias para que os scripts sejam executados corretamente. O caminho escolhido em nosso exemplo, foi a pasta "Scripts" dentro da estrutura SYSVOL.
Abrindo o primeiro script "Certificados", veja a linha para a importação do A1. Não esqueça de inserir a senha do seu certificado conforme o exemplo abaixo. Você deve se preocupar com a segurança desses scripts e tratar suas permissões NTFS, pois as senhas dos certificados ficarão armazenadas dentro desses arquivos.
Abrindo o script "Import-Certificate-Silently", você encontrará o código que fará a importação do seu certificado A1 de forma silenciosa para o navegador. Observe que o caminho onde escolher armazenar o certificado é muito importante e deve estar correto para que tudo funcione de acordo.
Por último, mostramos o nosso certificado A1 com extensão .pfx. Esse certificado é protegido por senha e será de exemplo em nosso artigo.
Você precisa criar uma GPO com o nome que desejar e vincular a unidade organizacional onde os usuários utilizarão os certificados. Você pode organizar da forma que desejar, por departamentos ou usuários. Edite a GPO que desejar, como mostra a imagem abaixo:
Navegue em "User Configuration" - "Windows Settings" - "Scripts Logon/Logout" e abre a opção "Logon":
Adicione o caminho do arquivo .vbs "Import-Certificate-Silently" e clique em OK:
Faça o login com sua estação de trabalho e verá o certificado importado em seu navegador "Internet Explorer".
Esperamos que essa dica seja útil a todos que desejam organizar seus certificados A1 e manter em sigilo suas senhas para nunca passar ao usuário final. Centralizar certificados é uma ótima forma de manter a segurança de suas informações contra vazamento e fraudes internas.