Manajemen Sertifikat SSL dengan Powershell DSC

12

Saya memiliki sertifikat pihak ketiga yang diterbitkan yang perlu saya pastikan berjalan pada semua target dalam domain tertentu. Apakah ada cara untuk memastikan sertifikat ini diinstal melalui DSC?

omencat
sumber

Jawaban:

10

Saat ini tidak ada cara bawaan untuk melakukan ini di DSC. Saya menulis sumber daya khusus untuk organisasi saya yang memasang sertifikat dari PFX. Saya menggunakan Cert:PSDrive, Import-PfxCertificatecmdlet , dan kredensial aman di DSC (untuk kata sandi PFX).

Memperbarui

Ini sekarang hidup dalam sumber daya Microsoft! Sumber xPfxImportdaya ada dalam xCertificatemodul v1.1 (dan mungkin kemudian).

Juga menulis tentang hal itu di blog saya sendiri .

Sekali lagi terima kasih atas dorongannya (terutama jscott ).

briantis
sumber
1
Anda menggoda! Harap perbarui jawaban Anda jika Anda cukup membersihkan kode untuk membagikannya secara publik. :) +1
jscott
@ jscott hampir setahun kemudian, tetapi saya sedang berusaha untuk mendapatkan kode yang ditambahkan ke xCertificatemodul di sumber daya DSC Microsoft, jadi mudah-mudahan itu akan segera tersedia sebagai bagian dari apa yang sebelumnya DSC Resource Kit (dan sekarang akan tersedia melalui Galeri PowerShell). Permintaan penarikan saya sedang menunggu di sini tetapi Anda dapat melihat kode sekarang jika Anda mau.
briantist
@ jscott akhirnya bergabung menjadi dev, tidak tahu berapa lama untuk menjadi master. Terima kasih atas karunia dan dukungan Anda.
briantist
2

Bagaimana dengan menggunakan kebijakan grup untuk menyebarkan sertifikat ke domain? http://technet.microsoft.com/en-us/library/cc770315%28v=ws.10%29.aspx

Untuk menggunakan sertifikat dengan menggunakan Kebijakan Grup

Open Group Policy Management Console.

Find an existing or create a new GPO to contain the certificate settings. Ensure that the GPO is associated with the domain, site, or organizational unit whose users you want affected by the policy.

Right-click the GPO, and then select Edit.

Group Policy Management Editor opens, and displays the current contents of the policy object.

In the navigation pane, open Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Trusted Publishers.

Click the Action menu, and then click Import.

Follow the instructions in the Certificate Import Wizard to find and import the certificate.

If the certificate is self-signed, and cannot be traced back to a certificate that is in the Trusted Root Certification Authorities certificate store, then you must also copy the certificate to that store. In the navigation pane, click Trusted Root Certification Authorities, and then repeat steps 5 and 6 to install a copy of the certificate to that store.
Nerder Mass
sumber
4
Kedengarannya tidak seperti ini adalah sertifikat CA bahwa ia membutuhkan sistemnya untuk mempercayai untuk apa solusi yang Anda jelaskan. Kedengarannya lebih seperti dia memiliki sertifikat aktual dan kunci pribadi yang akan digunakan server target untuk meng-host layanan berbasis SSL. Saya tidak percaya Anda dapat menggunakan pengaturan Kebijakan Kunci Publik GPO untuk menyebarkan sesuatu seperti itu.
Ryan Bolger