Distribuindo Certificado Digital A1 Via GPO

Nesse artigo vamos mostrar como distribuir certificados digitais via GPO. Muitas empresas procuram uma forma de distribuir esses certificados de modo centralizado e sem precisar passar informações de segurança para o usuário final. Esse procedimento automatiza e centraliza todos os seus certificados digitais e ainda distribuí de forma rápida para diferentes tipos de departamentos conforme sua necessidade.
Para que esse procedimento funcione, você deve possuir um domínio (Active Directory) com sua saúde 100%, dois scripts e seus certificados A1. Veja na imagem abaixo o  que iremos utilizar para que essa distribuição tenha sucesso:

Importante: Você deve escolher um caminho para compartilhamento e dar as permissões necessárias para que os scripts sejam executados corretamente. O caminho escolhido em nosso exemplo, foi a pasta “Scripts” dentro da estrutura SYSVOL.

1

Abrindo o primeiro script “Certificados”, veja a linha para a importação do A1. Não esqueça de inserir a senha do seu certificado conforme o exemplo abaixo. Você deve se preocupar com a segurança desses scripts e tratar suas permissões NTFS, pois as senhas dos certificados ficarão armazenadas dentro desses arquivos.

2

Abrindo o script “Import-certificate-silently”, você encontrará o código que fará a importação do seu certificado A1 de forma silenciosa para o navegador. Observe que o caminho onde escolher armazenar o certificado é muito importante e deve estar correto para que tudo funcione de acordo.

3

Por último, mostramos o nosso certificado A1 com extensão .pfx. Esse certificado é protegido por senha e será de exemplo em nosso artigo.

4

Você precisa criar uma GPO com o nome que desejar e vincular a unidade organizacional onde os usuários utilizarão os certificados. Você pode organizar da forma que desejar, por departamentos ou usuários. Edite a GPO que desejar, como mostra a imagem abaixo:

5

Navegue em “User Configuration” – “Windows Settings” – “Scripts Logon/Logout” e abre a opção “Logon”:

6

Adicione o caminho do arquivo .vbs “Import-Certificate-Silently” e clique em OK:

7

Faça o login com sua estação de trabalho e verá o certificado importado em seu navegador “Internet Explorer”.

8

 

Esperamos que essa dica seja útil a todos que desejam organizar seus certificados A1 e manter em sigilo suas senhas para nunca passar ao usuário final. Centralizar certificados é uma ótima forma de manter a segurança de suas informações contra vazamento e fraudes internas.

  • Elder Rondon

    Excelente publicação, muito importante e de grande uso no dia a dia. Parabéns!

  • Paulo Vianna

    Não consegui importar o certificado…..aparece o erro “Não eram esperados mais de 1 args…recebidos 5”