none
Powershell & AllSigned & TrustedPublisher RRS feed

  • Вопрос

  • Добрый день, всем.

    Недавно изменили политику, чтобы запускались только подписанные скрипты. Для того, чтобы скрипты запускались без вопросов необходимо добавить сертификат, которым подписывали скрипт в доверенные издатели. Много скриптов запускается через таскшедулер от "технических" учеток.

    Добавил в политику на домен распространение своего сертификата, которым подписываю скрипты, в доверенные издатели в секции ПК. Как ни странно, но это не работает, типа необходимо прописывать для пользователя.

    Есть ли какие-либо обходные маневры, чтобы доверенные издатели в секции ПК работали для Пользователей, работающих на этом ПК?

    9 марта 2016 г. 12:36

Ответы

  • Опишите структуру PKI. Если вы делаете сертификат через makecert , то local certificate authority добавляете в  Trusted Root Certificate Authority , а сертификат для подписи уже в Trusted Publishers.

    1) Этот сертификат добавляется в trusted root certificate authority

    makecert -n "CN=PowerShell Local Certificate Root" -a sha1 -eku 1.3.6.1.5.5.7.3.3 -r -sv root.pvk root.cer -ss Root -sr localMachine

    2) Этот сертификат добавляется в Trusted Publishers

    makecert -pe -n "CN=PowerShell User" -ss MY -a sha1 -eku 1.3.6.1.5.5.7.3.3 -iv root.pvk -ic root.cer


    • Изменено KazunEditor 9 марта 2016 г. 12:56
    • Помечено в качестве ответа mospmc.ru 9 марта 2016 г. 13:41
    9 марта 2016 г. 12:54
    Отвечающий

Все ответы

  • Опишите структуру PKI. Если вы делаете сертификат через makecert , то local certificate authority добавляете в  Trusted Root Certificate Authority , а сертификат для подписи уже в Trusted Publishers.

    1) Этот сертификат добавляется в trusted root certificate authority

    makecert -n "CN=PowerShell Local Certificate Root" -a sha1 -eku 1.3.6.1.5.5.7.3.3 -r -sv root.pvk root.cer -ss Root -sr localMachine

    2) Этот сертификат добавляется в Trusted Publishers

    makecert -pe -n "CN=PowerShell User" -ss MY -a sha1 -eku 1.3.6.1.5.5.7.3.3 -iv root.pvk -ic root.cer


    • Изменено KazunEditor 9 марта 2016 г. 12:56
    • Помечено в качестве ответа mospmc.ru 9 марта 2016 г. 13:41
    9 марта 2016 г. 12:54
    Отвечающий
  • Прошу прощения.... проверяемый скрипт был подписан старым сертификатом, который не был добавлен через политику... сейчас массово проверяю скрипты и переподписываю...

    Тему закрываю...

    Видимо 4 выходных подряд дают о себе знать...

    9 марта 2016 г. 13:41