zamsi7
Goto Top

Powershell Script mit Zertifikat signieren

Hallo an alle,

ich würde gerne ein PS Script signieren um es im Gesamten Unternehmen verwenden zu können.
Im Unternehmen ist auf jedem Rechner unser Zertifikat vorhanden. Mit diesem hätte ich das Script gern signiert.
Wenn ich mir in der Zertifikats-Verwaltung die Details von diesem Zertifikat ansehe, ist dieses für "Alle Zwecke aktiviert".(z.B.: Codesignatur,...)
Das müsste doch bedeuten, dass ich mit diesem Zertifikat auch Scripte signieren kann, oder?

Wenn ich dann das Script signieren möchte erscheint die Meldung:
Das angegebene Zertifikat ist für die Codesignatur nicht geeignet.


Ich habe....
$cert = Get-ChildItem - Path cert:\CurrentUser\Root\(Thumbprint Nummer angegeben) -CodeSigningCert
Set-AuthenticodeSignature -Filepath "C:\Test\MeinScript.ps1" -Certificate $Cert

Habe es auch bereits mit anderen Zertifikaten dort versucht und auch schon unter Cert:\LocalMachine aber leider erscheint bei allem die selbe Fehlermeldung.


Hat hier jemand bereits mehr Erfahrung? und kann mir sagen was ich hier falsch mache??

Danke!!


LG Simon

Content-ID: 323843

Url: https://administrator.de/contentid/323843

Ausgedruckt am: 22.11.2024 um 03:11 Uhr

emeriks
emeriks 14.12.2016 um 14:39:11 Uhr
Goto Top
Hi,
hast Du ein Zertifikat incl. privatem Schlüssel? Nur damit kannst Du etwas signieren.

Am Client, wo es ausgeführt werden soll, benötigt man nur den öffentlichen Schlüssel.

E.
131381
131381 14.12.2016 aktualisiert um 14:44:58 Uhr
Goto Top
Im Unternehmen ist auf jedem Rechner unser Zertifikat vorhanden. Mit diesem hätte ich das Script gern signiert.
Dann hast du 100%ig nicht den privaten Schlüssel face-smile! Dieser ist aber nötig für das Signieren von Scripten.

Erstellt euch mit eurer Enterprise CA ein Code-Signing Zertifikat, damit signierst du dann deine Skripte.
http://www.hanselman.com/blog/SigningPowerShellScripts.aspx

Gruß
zamsi7
zamsi7 14.12.2016 um 14:54:40 Uhr
Goto Top
Hallo und danke für deine rasche Antwort!!

Das ist schon mal eine sehr gute Info face-smile
Denke das wird das Problem sein. Bin leider nicht wirklich fit mit Zertifikaten face-confused

Wir hätten diverse PS Scripte, bei welchen man leider immer zuvor die Execution Policy ändern muss um diese auszuführen.
Da kann man halt nicht wirklich Produktiv sein.
Wie hast du/Ihr denn dieses Problem gelöst?
Gibt es hier keine einfache Lösung?
131381
131381 14.12.2016 aktualisiert um 15:05:25 Uhr
Goto Top
Zitat von @zamsi7:
Wir hätten diverse PS Scripte, bei welchen man leider immer zuvor die Execution Policy ändern muss um diese auszuführen.
Nö musst du nicht, setze sie via GPO.
Wie hast du/Ihr denn dieses Problem gelöst?
Ich signiere alles was auf Clients zur Ausführung von den Servern kommt, ist doch schnell erledigt, ist auf jeden Fall sicherer als alles freizugeben.
Gibt es hier keine einfache Lösung?
Per GPO die Policy setzen.
Oder mit Bypass arbeiten. Sicherer ist es aber zu signieren.
zamsi7
zamsi7 15.12.2016 um 10:24:21 Uhr
Goto Top
Danke!

Dass man die ExecutionPolicy mittels GPO setzten kann ist mir durchaus bewusst aber leider etwas unsicher ^^

Vielen Dank für eure Hilfe!! Werde mir eines erstellen lassen face-smile Dann funktioniert das sauber und sicher..

LG Simon