Всем привет. Довольно часто у меня на работе случается такая фигня, что юзвери не могут подписать файл, а случается это из за того что устарел список сертификатов открытых ключей, которые были отозваны центром сертификации до истечения срока их действия
Решил избавиться от этой проблемы раз и навсегда, то есть автоматизировать установку списка отозванных сертификатов.
1) Прописываем в автозагрузку bat’ник следующего содержания — при включении компьютера он будет нам копировать .crl файлы с сетевой папки l:\sos на локальный диск c: в папку sos, то есть c:\sos
copy l:\sos\*.crl c:\sos\ /y /d
2) В папку c:\sos\ помещаем bat’ник — пусть это будет crl.bat следующего содержания
timeout 10
certutil -f -addstore CA c:\sos\ucfk_2021.crl
certutil -f -addstore CA c:\sos\ucfk_2022.crl
certutil -f -addstore CA c:\sos\guc_gost12.crl
certutil -f -addstore CA c:\sos\guc2022.crl
certutil -f -addstore CA c:\sos\ucfk_2023.crl
3) Теперь запускаем планировщик задач и добавляем этот crl.bat в назначенные задания, так чтобы он запускался при входе в компьютер любого пользователя от имени локального администратора. Зачем так ? Потому что у некоторых пользователей не хватает прав для установки списка отозванных сертификатов, поэтому будем запускать bat’ник от имени локального администратора. На этом всё.
Таким образом при загрузке компьютера свежие crl файлы скопируются в папку c:\sos после чего с задержкой в 10 секунд будет запущен процесс установки списка отзыва сертификатов. Паузу я сделал для того, чтобы успели скопироваться .crl файлы