Већина Виндовс администратора упознатих са темом ПКИ познаје услужни програм Макецерт.еке, са којим можете да креирате потврду о себи. Овај услужни програм је укључен у Мицрософт .НЕТ Фрамеворк СДК и Мицрософт Виндовс СДК. Виндовс 8 и Виндовс Сервер 2012 имају уграђену способност креирања цертификата са сопственим потписом помоћу ПоверСхелл 3.0 и новије верзије без употребе посебних услужних програма.
Садржај:
- Употреба цмдлета Нев-СелфСигнедЦертифицате за креирање сертификата
- Направите потврду о потписивању кода за сопствени потпис
Употреба цмдлета Нев-СелфСигнедЦертифицате за креирање сертификата
ПоверСхелл предлаже кориштење цмдлет-а за креирање сертификата који се само потписао Ново-СелфСигнедЦертифицате, део ПоСх модула са именом ПКИ (Инфраструктура јавног кључа).
За листање свих расположивих цмдлета у ПКИ модулу, покрените наредбу:
Гет-Цомманд - модул ПКИ
Препоручује се да користите сопствене потписе сертификата за потребе тестирања или да обезбедите сертификате за интерне интранет услуге (ИИС, Екцханге, Веб Апплицатион Проки, ЛДАПС, АДРМС, ДирецтАццесс, итд.), У случајевима када из неког разлога купите сертификат од спољног провајдера или активирање ПКИ / ЦА инфраструктуре немогуће.
Савет. Не заборавите и на могућност коришћења пуноправних бесплатних ССЛ сертификата компаније Лет'с Енцрипт. Пример како да издате шифрирај ССЛ цертификат Лет'с Шифрујмо и вежемо га на ИИС локацију.Да бисте креирали сертификат, морате навести вредности -Име имена (Име ДНС сервера, име може бити произвољно и различито од локалног домаћина) и -ЦертСтореЛоцатион (одељак локалне продавнице сертификата у који ће се поставити генерисани сертификат). Помоћу цмдлет-а можете да креирате самопотписан сертификат у Виндовсима 10 (у нашем примеру), Виндовс 8 / 8.1 и Виндовс Сервер 2016/2012/2012 Р2.
Да бисте креирали сертификат за ДНС име тест.цонтосо.цом и ставили га на списак сертификата за лични рачунар, извршите наредбу:
Нев-СелфСигнедЦертифицате -ДнсНаме тест.цонтосо.цом -ЦертСтореЛоцатион церт: \ ЛоцалМацхине \ Ми
Именик: Мицрософт.ПоверСхелл.Сецурити \ Цертифицате :: ЛоцалМацхине \ Ми
Тхумбпринт субјецт
---------- -------
2779Ц0490Д558Б31ААА0ЦЕФ2Ф6ЕБ1А5Ц2ЦА83Б30 ЦН = тест.цонтосо.цом
Подразумевано се генерише сертификат са сопственим потписом са следећим подешавањима:
- Криптографски алгоритам: РСА;
- Величина кључа: 2048 мало;
- Важеће опције коришћења кључева: Аутентификација клијента и Аутентификација сервера;
- Сертификат се може користити за: Дигитални потпис, Кључно шифрирање ;
- Валидност сертификата: 1 године.
Ова наредба ће креирати нови сертификат и увести га у складиште личног рачунара. Снап за отварање цертлм.мсц, проверите то у одељку Лично Појавио се нови цертификат рачунарске продавнице.
Као што видите, својства цертификата указују на то да се овај цертификат може користити за аутентификацију клијента (Аутхентицатион Цлиент), али важи и за аутентификацију сервера (Аутентификација сервера).
$ тодаидате = Датум-датум
$ адд3иеар = $ тодаидате.АддИеарс (3)
Нев-СелфСигнедЦертифицате -днснаме тест.цонтосо.цом -нота $ адд3иеар -ЦертСтореЛоцатион церт: \ ЛоцалМацхине \ Ми
За извоз примљеног цертификата приватним кључем у пфк датотеку заштићену лозинком, потребан нам је Тхумбпринт који се мора копирати из резултата наредбе Нев-СелфСигнедЦертифицате:
$ ЦертПассворд = ПретвориТо-СецуреСтринг -Стринг „ИоурПассворд“ -Форце -АсПлаинТект
Екпорт-ПфкЦертифицате -Церт церт: \ ЛоцалМацхине \ Ми \ 2779Ц0490Д558Б31ААА0ЦЕФ2Ф6ЕБ1А5Ц2ЦА83Б30 -ФилеПатх Ц: \ тест.пфк -Пассворд $ ЦертПассворд
Можете да извозите јавни кључ сертификата:
Извоз-сертификат -Церт Церт: \ ЛоцалМацхине \ Ми \ 2779Ц0490Д558Б31ААА0ЦЕФ2Ф6ЕБ1А5Ц2ЦА83Б30 -ФилеПатх Ц: \ тестцерт.цер
Јавни кључ или сама датотека сертификата може се инсталирати на веб сервер или клијенте домена помоћу ГПО (пример инсталирања сертификата на ПЦ помоћу групних смерница).
Једна корисна карактеристика цмдлета Нев-СелфСигнедЦертифицате је могућност креирања сертификата са више различитих имена. Предмет Алтернатива Имена (САН).
Напомена. Ако се створи сертификат са више имена, прво име у параметру ДнсНаме користиће се као ЦН (уобичајено име) сертификат.На пример, направите сертификат са следећим именима:
- Назив предмета (ЦН): адфс1.цонтосо.цом
- Алтернативно име предмета (ДНС): веб_гв.цонтосо.цом
- Алтернативно име предмета (ДНС): ентерприсе_рег.цонтосо.цом
Наредба за креирање сертификата биће следећа:
Нев-СелфСигнедЦертифицате -ДнсНаме адфс1.цонтосо.цом, веб_гв.цонтосо.цом, ентерприсе_рег.цонтосо.цом -ЦертСтореЛоцатион церт: \ ЛоцалМацхине \ Ми
Такође можете издати сертификат за целокупни простор имена у домену, за то одредите име сервера као * .цонтосо.цом.
Нев-СелфСигнедЦертифицате -цертсторелоцатион церт: \ лоцалмацхине \ ми -днснаме * .цонтосо.цом
Направите потврду о потписивању кода за сопствени потпис
У ПовеСхелл 3.0, Нев-СелфСифгнедЦертифицате цмдлет је генерисао само ССЛ цертификате који се не могу користити за потписивање управљачког и апликативног кода (за разлику од сертификата које је генерисао МакеЦерт).
У ПоверСхелл 5, нова верзија цмдлета Нев-СелфСифгнедЦертифицате сада се може користити за издавање цертификата типа Сигнинг Сигнинг..
Да бисте креирали самопотписан цертификат за потписивање кода апликације, покрените наредбу:
$ церт = Нев-СелфСигнедЦертифицате -Субјецт "Потврда за потписивање кода" -Типе ЦодеСигнингЦерт -ЦертСтореЛоцатион церт: \ ЛоцалМацхине \ Ми
Покушајмо да потпишемо ПоверСхелл скрипту користећи овај сертификат:
Сет-АутхентицодеСигнатуре -ФилеПатх Ц: \ ПС \ тест_сцрипт.пс1 -Цертификат $ церт
Ако се током извођења команде појави упозорење УнкновнЕррор, овај цертификат је непоуздан, јер налази се у личној продавници корисничких потврда.
Морате да је преместите у роот сертификате (не заборавите да периодично проверите да ли се у Виндовс складишту сертификата не поседују неповерени сертификати и ажурирају листе коренских сертификата):
Мове-Итем -Патх $ церт.ПСПатх -Одредиште "Церт: \ ЦуррентУсер \ Роот"
Након тога, можете да потпишете своју скрипту ПоверСхелл-а помоћу овог самопотписаног сертификата.
