การจัดการใบรับรอง SSL ด้วย Powershell DSC


12

ฉันมีใบรับรองที่ออกโดยบุคคลที่สามที่ฉันต้องการเพื่อให้แน่ใจว่าทำงานบนเป้าหมายทั้งหมดในโดเมนที่กำหนด มีวิธีที่จะทำให้แน่ใจว่าใบรับรองนี้ได้รับการติดตั้งโดยวิธี DSC หรือไม่

คำตอบ:


10

ขณะนี้ไม่มีวิธีการในตัวใน DSC ฉันเขียนทรัพยากรที่กำหนดเองสำหรับองค์กรของฉันที่ติดตั้งใบรับรองจาก PFX ฉันใช้Cert:PSDrive, Import-PfxCertificatecmdlet และข้อมูลรับรองที่ปลอดภัยใน DSC (สำหรับรหัสผ่าน PFX)

ปรับปรุง

นี่คือตอนนี้อยู่ในแหล่งข้อมูลของ Microsoft! xPfxImportทรัพยากรอยู่ในxCertificatev1.1 โมดูล (และต่อมาสมมุติ)

ยังเขียนเกี่ยวกับเรื่องนี้ในบล็อกของตัวเอง

ขอขอบคุณอีกครั้งสำหรับกำลังใจ (โดยเฉพาะอย่างยิ่งjscott )


1
คุณแซว! โปรดอัปเดตคำตอบของคุณหากคุณล้างรหัสของคุณให้มากพอที่จะเปิดเผยต่อสาธารณะ :) +1
jscott

@jscott เกือบหนึ่งปีต่อมา แต่ฉันพยายามรับรหัสที่เพิ่มไปยังxCertificateโมดูลในทรัพยากร DSC ของ Microsoft ดังนั้นหวังว่าจะสามารถใช้งานได้เร็ว ๆ นี้ซึ่งเป็นส่วนหนึ่งของชุดทรัพยากร DSC (และตอนนี้จะมีให้ผ่านทาง แกลลอรี่ PowerShell) คำขอดึงของฉันกำลังรออยู่ที่นี่แต่คุณสามารถดูรหัสได้ถ้าต้องการ
ต้มตุ๋น

@jscott ในที่สุดก็ถูกรวมเข้าด้วยกันdev, ไม่รู้เลยว่ามันต้องใช้เวลานานแค่ไหนในการที่จะได้เป็นผู้เชี่ยวชาญ ขอบคุณสำหรับความโปรดปรานและการสนับสนุนของคุณ
นักเทศน์

2

วิธีการเกี่ยวกับการใช้นโยบายกลุ่มเพื่อปรับใช้ใบรับรองกับโดเมน http://technet.microsoft.com/en-us/library/cc770315%28v=ws.10%29.aspx

ในการปรับใช้ใบรับรองโดยใช้นโยบายกลุ่ม

Open Group Policy Management Console.

Find an existing or create a new GPO to contain the certificate settings. Ensure that the GPO is associated with the domain, site, or organizational unit whose users you want affected by the policy.

Right-click the GPO, and then select Edit.

Group Policy Management Editor opens, and displays the current contents of the policy object.

In the navigation pane, open Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Trusted Publishers.

Click the Action menu, and then click Import.

Follow the instructions in the Certificate Import Wizard to find and import the certificate.

If the certificate is self-signed, and cannot be traced back to a certificate that is in the Trusted Root Certification Authorities certificate store, then you must also copy the certificate to that store. In the navigation pane, click Trusted Root Certification Authorities, and then repeat steps 5 and 6 to install a copy of the certificate to that store.

4
ดูเหมือนว่านี่ไม่ใช่ใบรับรอง CA ที่เขาต้องการให้ระบบของเขาเชื่อถือซึ่งเป็นวิธีการแก้ปัญหาที่คุณอธิบาย ดูเหมือนว่าเขามีใบรับรองจริงและคีย์ส่วนตัวที่เซิร์ฟเวอร์เป้าหมายจะใช้ในการโฮสต์บริการที่ใช้ SSL ฉันไม่เชื่อว่าคุณสามารถใช้การตั้งค่า GPO ของนโยบายคีย์สาธารณะเพื่อปรับใช้บางอย่างเช่นนั้นได้
Ryan Bolger
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.