Относительно крупной организации логично иметь собственный центр сертификации, ибо он решает сразу множество проблем: внутренние веб-порталы, SSL, RDP-соединения, подписание собственных скриптов и программ, при этом особенных затрат не требует.
Но вот, предположим, мы развернули простейший CA(центр сертификации) из пакета Microsoft Server, и как же теперь подписать наши PowerShell скрипты, чтобы они не отказывались выполняться на рабочих станциях? Такой вопрос встал и передо мной, так что имеющимися знаниями хочу поделиться с другими.
Как подписать код уже имеющимся ключем я описал здесь.
А о том, как получить сертификат я и расскажу в этой статье.
Если же у вас нет собственного СА, не отчаивайтесь, можно воспользоваться и самоподписным сертификатом при помощи командлета New-SelfSignedCertificate, о чем подробнее вы можете прочитать здесь, но лично я с этим вопросом не разбирался.
Создаем шаблон сертификата
Это просто, так как заготовка для шаблонва ы MSCA уже есть.
Открываем консоль(MMC) "Центр сертификации", открываем наш сервер, переходим в раздел "Шаблоны сертификатов", на самом этом разделе, или в правой части, где отображаются шаблоны вызываем котекстное меню. В меню выбираем "Создать" -> "Выдаваемый шаблон сертификата".
В открывшемся окне выбираем шаблон "Подписывание кода" и жмем"Ок". Шаблон сертификата добавлен.
Получаем сертификат от нашего CA
На своем рабочем компьютере, с которого будем подписывать, хапускаем консоль MMC (пуск-выполнить-mmc) и добавляем в нее оснастку "Сертификаты" (Ctrl+M, в левой части выбираем Сертификаты и жмем "Добавить >") на запрос, чьими сертификатами мы будем управлять выбираем "моей учетной записи пользователя". Жмем "Ок"
Раскрываем пункт "Сертификаты-текущий пользователь" и кликаем на раздел "Личное"
В контекстном иеню правой части или на панели действия в дополнительных действиях выбитаем "Все задачи" -> "Запросить новый сертификат". В первом окне просто жмем "Далее", во втором должна быть выбрана политика регистрации и тоже жмем "Далее", а в третьем отмечаем галочкой шаблон, который мы добавляли и жмен кнопку "Заявка".
Система сформирует запрос и отправит его центру сертификации, далее, если запросы не одобряются автоматически, ответственное лицо должно будет его одобрить и сертификат будет помещен в хранилище сертификатов пользователя на данной машине.
