powershell - 使用自签名证书(并且不使用 makecert.exe)对 PowerShell 脚本进行签名-6ren

powershell - 使用自签名证书(并且不使用 makecert.exe)对 PowerShell 脚本进行签名

转载作者：行者123 更新时间：2023-12-04 12:51:38

31

4

我正在尝试签署 .ps1使用自签名证书(用例是我自己在私有(private)开发站上编写的脚本，因此无需使用 - 或付费 -
一个真正的 CA)。但是，无论我阅读了多少关于证书生成和数字签名主题的指南，我似乎都无法让它发挥作用。

这是我到目前为止所取得的成就:

# Create a certificate to use as trusted root of the signing chain
$root = New-SelfSignedCertificate `
    -Subject "CN=PowerShell Trusted Authority" `
    -FriendlyName "PowerShell Trusted Authority" `
    -KeyUsageProperty Sign `
    -KeyUsage CertSign, CRLSign, DigitalSignature `
    -CertStoreLocation Cert:\LocalMachine\My\ `
    -NotAfter (Get-Date).AddYears(10)

# Create a certificate to use for signing powershell scripts
New-SelfSignedCertificate `
    -Signer $root `
    -Subject "CN=PowerShell Code Signing" `
    -KeyAlgorithm RSA `
    -KeyLength 2048 `
    -Type CodeSigningCert `
    -CertStoreLocation Cert:\LocalMachine\My\

# Move the root cert into Trusted Root CAs
 Move-Item "Cert:\LocalMachine\My\$($root.Thumbprint)" Cert:\LocalMachine\Root

以上所有操作都是通过管理 powershell 实例完成的。完成后，我可以在管理控制台中的预期位置看到这两个证书，并且签名证书的证书路径 checkout 为有效。

然后我打开一个常规的 PS 提示符并尝试签署脚本:

# Obtain a reference to the signing certificate
PS> $cert = Get-ChildItem Cert:\LocalMachine\My\ -CodeSigningCert

# Attempt at signing
PS> Set-AuthenticodeSignature .\Microsoft.PowerShell_profile.ps1 $cert


    Directory: C:\Users\tomas\Documents\WindowsPowerShell


SignerCertificate          Status                Path
-----------------          ------                ----
                           UnknownError          Microsoft.PowerShell_profile.ps1

如您所见，实际签名失败。查看 powershell 文件，我发现脚本没有附加任何签名。

如果我从管理员提示符下进行签名，我似乎会走得更远一些；一个签名 block 被添加到脚本中，并且签名证书的指纹打印在 Set-AuthenticodeSignature 的输出中。，但状态仍为 UnknownError并在 AllSigned 下执行政策仍然不允许。

# Output some info about the certificate:
PS> $cert | Format-List

Subject      : CN=PowerShell Code Signing
Issuer       : CN=PowerShell Trusted Authority
Thumbprint   : <omitted>
FriendlyName :
NotBefore    : 9/20/2017 10:48:59 PM
NotAfter     : 9/20/2018 11:08:59 PM
Extensions   : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, 
                System.Security.Cryptography.Oid, System.Security.Cryptography.Oid}

我尝试了 New-SelfSignedCertificate 的多种变体咒语，尤其是生成用于代码签名的证书，但始终带有相同的状态消息( UnknownError)。

我在这里的最终目标是能够拥有 Set-ExecutionPolicy AllSigned并且仍然运行我自己创建的脚本。我在这个过程中缺少什么来完成这项工作？

最佳答案

$cert = New-SelfSignedCertificate -CertStoreLocation Cert:\CurrentUser\My -Type CodeSigningCert -Subject "Code Signing"

Move-Item -Path $cert.PSPath -Destination "Cert:\CurrentUser\Root"

Set-AuthenticodeSignature -FilePath c:\go.ps1 -Certificate $cert

来源
https://blogs.u2u.be/u2u/post/creating-a-self-signed-code-signing-certificate-from-powershell

关于powershell - 使用自签名证书(并且不使用 makecert.exe)对 PowerShell 脚本进行签名，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/46331902/

31

4

0

文章推荐： ms-access - Access 2013 打印预览中的乱码

文章推荐： qt - 动态更改标签文本 QML

文章推荐： django - Map(应用函数)Django QuerySet

R.exe、Rcmd.exe、Rscript.exe 和 Rterm.exe : what's the difference?
我正在努力处理不同的 R 可执行文件。在批处理文件中运行命令行时，R.exe(带或不带 CMD BATCH 选项)、Rcmd.exe、Rscript.exe 和 Rterm.exe 有什么区别？两者
exe - 将数据附加到 exe
这个问题是我之前问题的一个答案的扩展:how to save user registration in the exe... (C#) . 这个想法本身对我来说仍然很新，但它似乎是合理的。我第一次尝试
kernel - NTOSKRNL.EXE 对比 NTKRNLMP.EXE 对比 NTKRNLPA.EXE 对比 NTKRPAMP.EXE
关闭。这个问题是off-topic .它目前不接受答案。想改进这个问题吗？ Update the question所以它是on-topic用于堆栈溢出。关闭 12 年前。 Improve thi
chromium - 抱歉，firefox.exe/chrome.exe 需要一段时间才能加载 | (无响应)firefox.exe/chrome.exe
我正在使用 React VR 制作一个 WebVR 应用程序。我将使用 Oculus Rift 和 HTC-Vive 测试该应用程序。我正在使用浏览器 Firefox Nightly 来访问 WebV
python - 为什么当我运行调用 B.exe 的 A.exe 时失败，因为 B.exe 尝试在 A.exe(调用者)文件夹而不是 B.exe 文件夹(调用者)中查找其模块？
当我从 A.exe(位于 c:/my_software/FOLDER_A/A.exe)运行 B.exe(位于 c:/my_software/FOLDER_B/B.exe)时，两者均使用 cx_Free
c++ - 从另一个 exe 打开 exe，禁用内部 exe 中的某些键
我有一个以前的程序员留下的exe(GUI)，它是在cpp中完成的，但是我需要禁用程序中的一些键盘键，因为当它们被意外击中时，这是不可取的。我正在使用 Windows。我能否编写一个程序来在 Wind
c++ - 如何确定 exe 文件是 .Net exe 还是常规 exe？
这不是以下 SO 问题的重复: How do I tell if a win32 application uses the .NET runtime . 如果给定的 exe 文件是 .net exe
python - python.exe、python3.exe 和 python3.6.exe 之间有什么区别？
我刚刚安装了 ActivePython 3.6 的 64 位版本，发现它包含三个可执行文件，它们报告相同的版本信息，大小相同，但不完全相同，即peer fc.exe。我有 python.exe pyt
exe - 为您的 .exe 捆绑病毒防护
很难说出这里要问什么。这个问题模棱两可、含糊不清、不完整、过于宽泛或夸夸其谈，无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开，visit the help center . 关闭 9
exe - 如何保护 Exe 文件免遭反编译
有哪些方法可以保护exe文件免遭逆向工程。有很多打包工具可以打包exe文件。这种方法在http://c-madeeasy.blogspot.com/2011/07/protecting-your-c-
c++ - 如果不运行 Inspect.exe、Magnify.exe、Narrator.exe 之一，则无法获得最深的 IUIAutomationElement
仅当应用“X”(Inspect.exe | Narrator.exe | Magnify.exe)正在运行时，我才能在 Windows 应用程序中获取一些 IUIAutomationElements。
c - 我的应用程序中的 ANSI C : how can I include and then extract . exe 文件(将 .exe 打包成 .exe)？
我正在编写一个创建 Windows 服务的程序。所以我需要两个 .exe 文件——一个用于程序，创建服务，另一个用于服务本身。但是我想将这两个文件合二为一。我有以下想法 - 打开 .exe 文件，我想
exe - 从 UWP 应用启动 Exe
我有一个 UWP 应用，我需要从 users %appdata% 文件夹中启动一个 .Exe 文件。我不知道如何找到 %appdata% 或如何启动 Exe 文件。我已经查看了所有解决方案，但没有
找不到 MSBuild.exe，cmd.exe
我最近安装了 Visual Studio 2017，MSBuild.exe 不是应该自带的吗？ bash 脚本之一正在调用它，但找不到任何东西。这是 build.bat 产生错误的部分(您可以看到整
delphi - 为什么向 exe 添加大量资源会很慢并且有时会损坏 exe？
我正在我自己的代码中尝试来自 Mad-collections(用于在 exe 中添加/删除或更新资源的单元)中 Madres 单元的不同功能。这适用于小型资源(小于 50 MB)，但对于较大的资源(大
exe - 抢先保护 Dotfuscator exe 文件
什么是PreEmptive Protection Dotfuscator exe文件的Map.Xml和Dotfuscator1.Xml文件。我应该出于某种原因保留它们，还是项目 exe 文件组装需要它
c# - 调试由另一个 exe 运行的 exe
我最近接手了一个项目，我不确定最后一个人是如何调试这个的......我有两个可执行文件，一个最终运行另一个。我将它们称为 exe1 和 exe2。这些是用 C# 创建的，我使用 Visual Stud
exe - 如何将 REBOL 脚本转换为 EXE？
如何从 REBOL 脚本创建 Windows 可执行文件 (.exe)？有任何说明或视频吗？最佳答案使用 Rebol 2 最简单的方法是使用 SDK - 尽管这需要花钱购买许可证。该方法称为封装。
exe - 我已经下载了一个 .exe 文件，但它在打开时很快关闭
我正在尝试打开下载的 .exe 文件，但它在打开后立即关闭。有什么可能的方法可以让我打开它更长的时间来阅读内容。最佳答案它可能是一个控制台应用程序而不是一个 GUI 应用程序。使用命令提示符运行
exe - AutoIt 脚本运行 .exe 文件
我想运行一个位于以下目录中的应用程序: C:\LCR 12\stu.exe 使用 AutoIt，运行上述 stu.exe 文件的代码是什么？最佳答案像这样: Run("C:\LCR 12\stu.

首页

博学

6Ren·AI

商城

powershell - 使用自签名证书(并且不使用 makecert.exe)对 PowerShell 脚本进行签名