Saya baru-baru ini membangun kembali PKI saya dan saya ingin menghapus sertifikat yang dikeluarkan untuk semua mesin klien di jaringan saya. Kedengarannya seperti pekerjaan untuk Powershell! Jadi saya menulis skrip ini untuk didistribusikan oleh GPO, dijalankan dari SysVol, dan dipicu pada mesin klien saat startup:
set-location cert:\LocalMachine\My
$certname = $env:COMPUTERNAME + ".domain.com"
get-item * | %{
if($_.issuer -like "CN=IssuingCA*" -and $_.DnsNameList.unicode -like $certname) { remove-item .\$_.Thumbprint -Force }
}
Dari prompt perintah yang ditinggikan:
- Saat Ran, skrip tidak memberikan output (hanya jalur terminal baru). Ia tidak mengembalikan kesalahan dan Sertifikat tidak terhapus.
- Ketika argumen
-WhatIf
ditambahkan keRemove-Item
perintah dalam skrip, sekali lagi tidak ada kesalahan dan Sertifikat tidak terhapus. - Ketika Remove-Item. \ CERTIFICATE-THUMBPRINT -Force dijalankan, sertifikat dihapus.
Apakah ini masalah izin? Apakah ada cara yang lebih pintar / sederhana untuk melakukan ini?
Terima kasih!
remove-item -whatif
??write-host
untuk membuang sesuatu di layar jika kondisi itu benar. Saya ingin tahu apakah skrip dievaluasi sebagai false (akan menjelaskan tidak ada kesalahan dan tidak ada tindakan).Remove-Item -Force
?Jawaban:
Jawaban saya adalah untuk "Apakah ada cara yang lebih pintar / sederhana untuk melakukan ini?" bagian dari pertanyaan Anda. Script ini berhasil menghapus cert go daddy untuk saya
Saya menambahkan
-WhatIf
sehingga kode ini tidak berbahaya untuk folx "copy \ paste \ run". Sekarang, Anda harus menyesuaikan$Path
,Where-Object
dan menambahkan$certname
variabel, tetapi template di atas harus memiliki Anda pergi.sumber
Meskipun saya belum dapat menyelesaikan masalah dengan skrip, saya dapat menemukan cara 'Lebih Cerdas / Lebih Sederhana' untuk mencapai tujuan saya .
Dari Otoritas Sertifikat:
Certificate Templates
dan pilihManage
Reenroll All Certificate Holders
Ini akan menambah nomor Versi templat dan sistem jaringan dengan pendaftaran otomatis akan menghapus sertifikat lama dan mendaftar dengan sertifikat baru.
Meskipun ini memerlukan pendaftaran otomatis untuk templat spesifik yang saya kerjakan, solusi untuk skrip yang diposting akan menjadi jawaban yang lebih baik.
sumber