Em qualquer organização, Nossos usuários precisam de certificados para acessar determinados sites, seja para sua própria autenticação ou em nome da sua empresa. O mais normal é que seja? Instalar o certificado no computador com o usuário conectado, que é um processo manual e que temos de ter em conta quando uma nova pessoa entra na organização, ou quando temos de renovar um certificado, Temos de fazer este processo quantas vezes forem necessárias. Bem, podemos usar as diretivas do nosso Ative Directory para atribuir certificados aos usuários de forma totalmente automática.

O que eu disse, en este documento veremos cómo importar de forma automática un certificado a un usuario de nuestro Directorio Activo, en su almacén “Personal” para que pueda usarlo navegando con Internet Explorer (Por exemplo) y pueda acceder a webs que le requieran dicho certificado instalado. Necesitamos primero la librería capicom.dll que la podemos bajar de AKI o de la web de Microsoft (habría que instalar el MSI para obtener la DLL de %Program Files%Microsoft CAPICOM 2.1.0.2 SDKLibX86). Necesitamos también un script llamado CStore.vbs que lo podemos bajar de AKI o del enlace anterior de la web de Microsoft (En %Program Files%Microsoft CAPICOM 2.1.0.2 SDKSamplesvbs).

El proceso es sencillo, primero tenemos que copiar la libreria capicom.dll a %windir%system32 de los equipos, después la registramos (em silêncio) y por último ejecutamos el visual basic script (vbs) ese para importar el certificado indicando la contraseña que tenga. Todo esto lo guardamos en un archivo .cmd que será el que los usuarios ejecuten cuando inicien sesión en sus equipos de forma automática, rápida y transparente. Con lo que conseguimos tener controlados los certificados que tenemos en la organización!

Creamos un directorio en un servidor donde guardaremos todos los ficheros juntos, la compartiremos con acceso a todos los usuarios con sólo lectura y asignaremos la GPO a dicho .cmd.

Ejemplo de “Importa Certificado Usuario RRHH.cmd”

[Código-fonte]copy \\servidor\certificados\capicom.dll %windir%\System32 /y
regsvr32 /s %windir%\System32\capicom.dll
cscript \\servidor\certificados\CStore.vbs import “RUTA_UNC_DEL_CERTIFICADO\Certificado.pfx” CONTRASEÑA_DEL_CERTIFICADO[/Código-fonte]

Creamos una GPO y lo asignamos a la Unidad Organizativa que nos interesa que tengan este certificado, haremos esto tantas veces nos interese con nuestros certificados/departamentos. Em “Configurações do usuário” > “Configurações do Windows” > “Secuencia de comandos” >”Iniciar sessão”.

Si queremos desregistrar la dll al finalizar el proceso podremos utilizar: ‘regsvr32 /u /s capicom.dll‘. Si queremos eliminar un certificado (olho! si tenemos la clave privada, se mantendrá) Executar: ‘cscript RUTACStore.vbs delete -delkey -noprompt -subject ASUNTO_DEL_CERTIFICADO‘.

Si prefieres descargarte los ficheros necesarios, te los dejo aquí: capicom.dll & CStore.vbs.