Я пытаюсь реализовать подписанный код для некоторых скриптов PS, и у меня есть вопрос о доверенных сертификатах. Я знаю, что «правильный» способ адресовать это означает, что ИТ-группа использует групповую политику, чтобы доверять центру сертификата. Но многие из моих клиентов просто не имеют такого варианта. Я хотел бы предоставить инструкции по использованию CertUtil.exe для выполнения задания, но я хотел быть на 100% уверенным, что добавление к доверенному издателю таким образом по-прежнему приводит к тому, что сертификат будет проверен органом выдачи при запуске или входе в систему, поэтому отозванный сертификат в доверенных издателях на самом деле не следует доверять, правильно? Кроме того, укажите, что инструмент, который будет запущен, является инструментом управления, моя первоначальная мысль - использовать инструмент для управления CertUtil.exe. В основном при первом использовании он добавляет свой собственный сертификат, поэтому вы получаете некоторое пользовательское взаимодействие, необходимое для первого использования. Но идея кода, создающего доверие для себя, кажется потенциально отрывочной, и поднимет для меня маленький флаг, если бы я был на другой стороне, одетый в мою IT-шляпу. Итак, с точки зрения модели распределения PS, создается собственный сертификат, который считается соответствующим, или verboten, или что-то вроде серой области?Powershell и доверенные сертификаты
ответ
Если я правильно помню отзыв, это почти немедленно, с возможной кратковременной задержкой из-за предварительной выборки. вы можете найти дополнительную информацию о том, как именно обрабатывается аннулирование здесь. https://technet.microsoft.com/en-us/library/ee619754(v=ws.10).aspx
Что касается добавления собственного сертификата, я не вижу проблемы с ним, но если им требуется подписание кода для скриптов, он не сможет сделать это первый запуск, лично я отправил материал certutil в виде отдельного скрипта (потенциально пакетного файла) и сохранил код, который вы фактически отправляете по всем подписанным.
Майк, сценарий будет поставлен подписанным. Ключ состоит в том, что он используется для текущего обслуживания, поэтому моя цель состоит в том, чтобы сначала использовать предупреждение, но тогда код добавит сертификат, чтобы все последующие применения произошли без предупреждения, считая, что сертификат остается действительным. Тем не менее, похоже, что простое изменение ярлыка на AllSigned позволит пользователю выбрать Always Run, который затем добавляет сертификат, предполагая, что пользователь является локальным администратором. Это может быть все, что мне нужно, что было бы здорово. И спасибо за ссылку. Я хочу, чтобы люди могли отправлять хорошие ресурсы, если только для прозрачности. – Gordon
- 1. SSL_CTX_load_verify_locations и доверенные сертификаты
- 2. Доверенные сертификаты становятся недействительными
- 3. Доверенные сертификаты Java HttpClient
- 4. Добавить сертификат в доверенные сертификаты
- 5. PAW: Вспоминая доверенные самоподписанные сертификаты
- 6. SSL-доверенные сертификаты в java
- 7. SoapFault: Нет доверенные сертификаты не найдено
- 8. Использовать самостоятельно подписанные и доверенные сертификаты одновременно в git
- 9. Как обнаружить поддельные доверенные личные/корневые SSL-сертификаты целевого домена
- 10. Tibco SSL-коммуникация говорит, что не установлены доверенные сертификаты
- 11. Сертификаты PowerShell через удаленный реестр
- 12. oauth2 и доверенные сайты
- 13. перебрать сертификаты в окнах Powershell
- 14. Rack и доверенные IP-адреса
- 15. Установить сертификат .cer в папке «Доверенные устройства» через PowerShell
- 16. Сертификаты между ZAP и BURP
- 17. Как получить все сертификаты с powershell?
- 18. Как установить сертификаты с помощью сценария powershell
- 19. Получение локальной машины и все сертификаты пользователей с помощью PowerShell
- 20. Сертификаты безопасности Webservice и сертификаты Windows
- 21. Доверенные возвраты на четыреугольный
- 22. SignalR - Javascript Hub Доверенные
- 23. Доверие SSL сертификаты, хранящиеся в «Доверенные корневые центры сертификации» в C#
- 24. Сертификаты самоподписывания для https
- 25. WSPBuilder, Config Store и частично доверенные абоненты
- 26. wget, самозаверяющие сертификаты и собственный HTTPS-сервер
- 27. Где хранятся сертификаты SSL?
- 28. WCF, безопасность и сертификаты
- 29. SSL-сертификаты и elinks
- 30. Сертификаты SSL и Клиентов
1. Отмененный сертификат не считается «ОК». – 4c74356b41
Когда/как часто проверяется «доверенный» сертификат на аннулирование? При каждом запуске/входе в систему? Периодически во время использования? Я видел, как архитекторы оставляли компьютеры на компьютере, входили в систему и запускали программное обеспечение (за пару месяцев). Я хочу заверить своих ИТ-специалистов, что даже при таких обстоятельствах сертификат получает регулярную проверку и остается «безопасным». Любая техническая документация по данной теме, вероятно, будет хорошей вещью, чтобы указать на них как на доверенную третью сторону. Благодаря! – Gordon