Powershell 和可信证书
Powershell and trusted certificates
我正在尝试为某些 PS 脚本实施签名代码,但我对信任证书有疑问。
我知道 "right" 解决此问题的方法是让 IT 使用组策略来信任办公室范围内的证书。但我的许多客户并没有真正的选择。我的想法是提供有关使用 CertUtil.exe 完成这项工作的说明,但我想 100% 确定以这种方式添加到 trustedpublisher 仍然会导致证书在启动或登录时由颁发机构验证,所以受信任的发布者中的吊销证书实际上是不受信任的,对吗?
另外,给定的工具运行是一个管理工具,我最初的想法是用工具来驱动CertUtil.exe。基本上你第一次使用它时,它会添加自己的证书,所以你只需要在第一次使用时进行一些用户交互。但是代码为自己创建信任的想法似乎很粗略,如果我在另一边戴着我的 IT 帽子,我会举起一个小旗子。那么,从 PS 分发模型的角度来看,设置自己的证书被认为是合适的,还是被禁止的,或者是灰色地带?
如果我没记错的话,撤销几乎是立即的,由于预取可能会有很短的时间延迟。您可以在此处找到有关如何准确处理撤销的更多信息 - https://technet.microsoft.com/en-us/library/ee619754(v=ws.10).aspx
就添加您自己的证书而言,我认为它没有问题,但如果他们需要对脚本进行代码签名,它将无法在初始启动时执行,我个人会将 certutil 东西发送为一个单独的脚本(可能是一个批处理文件)并保留您实际发送的所有签名的代码。
我正在尝试为某些 PS 脚本实施签名代码,但我对信任证书有疑问。 我知道 "right" 解决此问题的方法是让 IT 使用组策略来信任办公室范围内的证书。但我的许多客户并没有真正的选择。我的想法是提供有关使用 CertUtil.exe 完成这项工作的说明,但我想 100% 确定以这种方式添加到 trustedpublisher 仍然会导致证书在启动或登录时由颁发机构验证,所以受信任的发布者中的吊销证书实际上是不受信任的,对吗? 另外,给定的工具运行是一个管理工具,我最初的想法是用工具来驱动CertUtil.exe。基本上你第一次使用它时,它会添加自己的证书,所以你只需要在第一次使用时进行一些用户交互。但是代码为自己创建信任的想法似乎很粗略,如果我在另一边戴着我的 IT 帽子,我会举起一个小旗子。那么,从 PS 分发模型的角度来看,设置自己的证书被认为是合适的,还是被禁止的,或者是灰色地带?
如果我没记错的话,撤销几乎是立即的,由于预取可能会有很短的时间延迟。您可以在此处找到有关如何准确处理撤销的更多信息 - https://technet.microsoft.com/en-us/library/ee619754(v=ws.10).aspx
就添加您自己的证书而言,我认为它没有问题,但如果他们需要对脚本进行代码签名,它将无法在初始启动时执行,我个人会将 certutil 东西发送为一个单独的脚本(可能是一个批处理文件)并保留您实际发送的所有签名的代码。