Für meinen neuen Job muss das benutzerdefinierte CA-Zertifikat des Unternehmens installiert sein. Solange ich arbeite, ist das in Ordnung, aber ich möchte nicht, dass dieses CA-Zertifikat außerhalb der Arbeitszeit aktiv ist.
Gibt es Möglichkeiten, programmgesteuert zwischen verschiedenen Sätzen von CA-Zertifikaten zu wechseln oder CA-Zertifikate programmgesteuert zu aktivieren/deaktivieren?
Antwort1
Das ist wirklich ein Missbrauch von Zertifikaten. Wenn Sie Ihrem Trust-Anchor-Store ein Root-CA-Zertifikat hinzugefügt haben, dann sagen Sie damit, dass Sie diesem Aussteller vertrauen. Tagsüber können Sie ihm nicht vertrauen, aber nachts und am Wochenende schon gar nicht. Entweder Sie tun es oder Sie tun es nicht.
Wenn Sie verhindern möchten, dass Benutzer außerhalb der Geschäftszeiten auf einen Dienst zugreifen, deaktivieren Sie diesen Dienst oder deaktivieren Sie Benutzerkonten.
Das heißt nicht, dass Sie kein Skript erstellen könnten, um ein Zertifikat in den Trust Store aufzunehmen oder daraus zu entfernen – PowerShell kann Ihnen beispielsweise unter Windows helfen –, aber das wäre immer ein Hack. Was hindert Benutzer daran, das Zertifikat wieder zu ihrem Trust-Anchor-Store hinzuzufügen, nachdem Ihr Skript es entfernt hat?