about_Certificate_Provider

Název zprostředkovatele

Certifikát

Drives

Cert:

Možnosti

ShouldProcess

Krátký popis

Poskytuje přístup k úložištům certifikátů X.509 a certifikátům v PowerShellu.

Podrobný popis

Tyto informace platí jenom pro PowerShell spuštěný ve Windows.

Poskytovatel certifikátu PowerShellu umožňuje získat, přidat, změnit, vymazat a odstranit certifikáty a úložiště certifikátů v PowerShellu.

Jednotka certifikátu je hierarchický obor názvů obsahující úložiště certifikátů a certifikáty ve vašem počítači.

Zprostředkovatel certifikátu podporuje následující rutiny, které jsou popsané v tomto článku.

Typy vystavené tímto poskytovatelem

Jednotka Certifikátu zveřejňuje následující typy.

  • Umístění úložiště (Microsoft.PowerShell.Commands.X509StoreLocation), což jsou kontejnery vysoké úrovně, které seskupují certifikáty pro aktuálního uživatele a pro všechny uživatele. Každý systém má CurrentUser umístění úložiště a LocalMachine (všichni uživatelé).
  • Úložiště certifikátů (System.Security.Cryptography.X509Certificates.X509Store), což jsou fyzická úložiště, ve kterých se certifikáty ukládají a spravují.
  • X.509 System.Security.Cryptography.X509Certificates.X509Certificate2 certifikáty, z nichž každý představuje certifikát X.509 v počítači. Certifikáty jsou identifikovány jejich kryptografickými otisky.

Zprostředkovatel certifikátu zveřejňuje obor názvů certifikátu jako jednotku v PowerShellu Cert: . Tento příkaz pomocí Set-Location příkazu změní aktuální umístění do Root úložiště certifikátů v LocalMachine umístění úložiště. K označení úrovně Cert: jednotky použijte zpětné lomítko (\) nebo lomítko (/).

Set-Location Cert:

Můžete také pracovat s poskytovatelem certifikátů z libovolné jiné jednotky PowerShellu. Pokud chcete odkazovat na alias z jiného umístění, použijte Cert: název jednotky v cestě.

PS Cert:\> Set-Location -Path LocalMachine\Root

Pokud se chcete vrátit na jednotku systému souborů, zadejte název jednotky. Zadejte například:

Set-Location C:

Poznámka

PowerShell používá aliasy, které vám umožní dobře pracovat s cestami zprostředkovatele. Příkazy, jako dir jsou a ls jsou teď aliasy pro Get-ChildItem, cd je alias pro Set-Location. a pwd je aliasem pro Get-Location.

Zobrazení obsahu certifikátu: jednotka

Tento příkaz používá rutinu Get-ChildItem k zobrazení úložišť certifikátů v CurrentUser umístění úložiště certifikátů.

Pokud nejste na Cert: jednotce, použijte absolutní cestu.

PS Cert:\CurrentUser\> Get-ChildItem

Zobrazení vlastností certifikátu v rámci certifikátu: jednotka

Tento příklad získá certifikát s Get-Item proměnnou a uloží ho do proměnné. Příklad ukazuje nové vlastnosti skriptu certifikátu (DnsNameList, EnhancedKeyUsageList, SendAsTrustedIssuer) pomocí Select-Object.

$c = Get-Item cert:\LocalMachine\My\52A149D0393CE8A8D4AF0B172ED667A9E3A1F44E
$c | Format-List DnsNameList, EnhancedKeyUsageList, SendAsTrustedIssuer
DnsNameList          : {SERVER01.contoso.com}
EnhancedKeyUsageList : {WiFi-Machine (1.3.6.1.4.1.311.42.2.6),
                       Client Authentication (1.3.6.1.5.5.7.3.2)}
SendAsTrustedIssuer  : False

Vyhledání všech certifikátů CodeSigning

Tento příkaz používá parametry Get-ChildItemCodeSigningCert a Recurse rutiny k získání všech certifikátů v počítači, který má autoritu pro podepisování kódu.

Get-ChildItem -Path cert: -CodeSigningCert -Recurse

Vyhledání certifikátů s vypršenou platností

Tento příkaz pomocí parametru Get-ChildItemExpiringInDays rutiny získá certifikáty, jejichž platnost vyprší během následujících 30 dnů.

Get-ChildItem -Path cert:\LocalMachine\WebHosting -ExpiringInDays 30

Vyhledání certifikátů SSL serveru

Tento příkaz používá parametr Get-ChildItemSSLServerAuthentication rutiny k získání všech certifikátů SSL serveru v a WebHosting úložištíchMy.

Get-ChildItem -Path cert:\LocalMachine\My, cert:\LocalMachine\WebHosting `
  -SSLServerAuthentication

Vyhledání certifikátů s vypršenou platností na vzdálených počítačích

Tento příkaz používá rutinu Invoke-CommandGet-ChildItem ke spuštění příkazu na počítačích Srv01 a Srv02. Hodnota nuly (0) v parametru ExpiringInDays získá certifikáty na počítačích Srv01 a Srv02, jejichž platnost vypršela.

Invoke-Command -ComputerName Srv01, Srv02 {Get-ChildItem -Path cert:\* `
  -Recurse -ExpiringInDays 0}

Kombinování filtrů pro vyhledání konkrétní sady certifikátů

Tento příkaz získá všechny certifikáty v LocalMachine umístění úložiště, které mají následující atributy:

  • fabrikam v názvu DNS
  • Client Authentication v jejich EKU
  • hodnota $true vlastnosti SendAsTrustedIssuer
  • do příštích 30 dnů nevyprší.

Vlastnost NotAfter ukládá datum vypršení platnosti certifikátu.

[DateTime] $ValidThrough = (Get-Date) + (New-TimeSpan -Days 30)
Get-ChildItem -Path cert:\* -Recurse -DNSName "*fabrikam*" `
  -EKU "*Client Authentication*" | Where-Object {
                                     $_.SendAsTrustedIssuer -and `
                                     $_.NotAfter -gt $ValidThrough
                                   }

Otevření modulu snap-in Certifikáty konzoly MMC

Rutina Invoke-Item použije výchozí aplikaci k otevření zadané cesty. Výchozí aplikací pro certifikáty je modul snap-in Certifikáty konzoly MMC.

Tento příkaz otevře modul snap-in Certifikáty konzoly MMC pro správu zadaného certifikátu.

Invoke-Item cert:\CurrentUser\my\6B8223358119BB08840DEE50FD8AF9EA776CE66B

Kopírování certifikátů

Zprostředkovatel certifikátů nepodporuje kopírování certifikátů. Při pokusu o zkopírování certifikátu se zobrazí tato chyba.

$path = "Cert:\LocalMachine\Root\E2C0F6662D3C569705B4B31FE2CBF3434094B254"
PS Cert:\LocalMachine\> Copy-Item -Path $path -Destination .\CA\
Copy-Item : Provider operation stopped because the provider does not support
this operation.
At line:1 char:1
+ Copy-Item -Path $path -Destination .\CA\
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotImplemented: (:) [Copy-Item],
                              PSNotSupportedException
    + FullyQualifiedErrorId : NotSupported,
                              Microsoft.PowerShell.Commands.CopyItemCommand

Přesouvání certifikátů

Přesunutí všech certifikátů ověřování ssl serveru do úložiště webových hostitelů

Tento příkaz pomocí rutiny Move-Item přesune certifikát z My úložiště do WebHosting úložiště.

Move-Item nepřesune úložiště certifikátů a nepřesune certifikáty do jiného umístění úložiště, například přesun certifikátu z LocalMachine umístění do CurrentUser. Rutina Move-Item přesune certifikáty, ale nepřesune privátní klíče.

Tento příkaz používá parametr Get-ChildItemSSLServerAuthentication rutiny k získání ověřovacích certifikátů serveru SSL v My úložišti certifikátů.

Vrácené certifikáty se předávají do Move-Item rutiny, která přesune certifikáty do WebHosting úložiště.

Get-ChildItem cert:\LocalMachine\My -SSLServerAuthentication | Move-Item `
  -Destination cert:\LocalMachine\WebHosting

Odstranění certifikátů a privátních klíčů

Rutina Remove-Item odebere zadané certifikáty. Dynamický parametr DeleteKey odstraní privátní klíč.

Odstranění certifikátu z úložiště certifikační autority

Tento příkaz odstraní certifikát z úložiště certifikátů certifikační autority, ale ponechá přidružený privátní klíč nedotčený.

Rutina Cert:Remove-Item na jednotce podporuje pouze parametry DeleteKey, Path, WhatIf a Confirm . Všechny ostatní parametry jsou ignorovány.

Remove-Item cert:\LocalMachine\CA\5DDC44652E62BF9AA1116DC41DE44AB47C87BDD0

Odstranění certifikátu pomocí zástupných znaků v názvu DNS

Tento příkaz odstraní všechny certifikáty, které mají název DNS, který obsahuje Fabrikam. K získání certifikátů a rutiny Remove-Item k jejich odstranění používá parametr Get-ChildItemDNSName rutiny.

Get-ChildItem -Path cert:\LocalMachine -DnsName *Fabrikam* | Remove-Item

Odstranění privátních klíčů ze vzdáleného počítače

Tato řada příkazů umožňuje delegování a pak odstraní certifikát a přidružený privátní klíč na vzdáleném počítači. Pokud chcete odstranit privátní klíč na vzdáleném počítači, musíte použít delegovaná pověření.

Pomocí rutiny Enable-WSManCredSSP povolte ověřování zprostředkovatele služby Credential Security Service Provider (CredSSP) na vzdáleném počítači S1. CredSSP umožňuje delegované ověřování.

Enable-WSManCredSSP -Role Client -DelegateComputer S1

Pomocí rutiny Connect-WSMan připojte počítač S1 ke službě WinRM na místním počítači. Po dokončení tohoto příkazu se počítač S1 zobrazí na místním WSMan: disku v PowerShellu.

Connect-WSMan -ComputerName S1 -Credential Domain01\Admin01

Teď můžete pomocí Set-Item rutiny WSMan: na jednotce povolit atribut CredSSP pro službu WinRM.

Set-Item -Path WSMan:\S1\Service\Auth\CredSSP -Value $true

Spusťte vzdálenou relaci na počítači S1 pomocí New-PSSession rutiny a zadejte ověřování CredSSP. Uloží relaci do $s proměnné.

$s  = New-PSSession S1 -Authentication CredSSP -Credential Domain01\Admin01

Nakonec pomocí rutiny Invoke-Command spusťte Remove-Item příkaz v relaci v $s proměnné. Příkaz Remove-Item pomocí parametru DeleteKey odebere privátní klíč spolu se zadaným certifikátem.

Invoke-Command -Session $s { Remove-Item `
  -Path cert:\LocalMachine\My\D2D38EBA60CAA1C12055A2E1C83B15AD450110C2 `
  -DeleteKey
  }

Odstranění prošlých certifikátů

Tento příkaz používá parametr Get-ChildItemExpiringInDays rutiny s hodnotou 0 získání certifikátů v WebHosting úložišti, jehož platnost vypršela.

Proměnná obsahující vrácené certifikáty se předá rutině Remove-Item , která je odstraní. Příkaz používá k odstranění privátního klíče spolu s certifikátem parametr DeleteKey .

$expired = Get-ChildItem cert:\LocalMachine\WebHosting -ExpiringInDays 0
$expired | Remove-Item -DeleteKey

Vytváření certifikátů

Rutina New-Item nevytvoří nové certifikáty ve zprostředkovateli certifikátů . K vytvoření certifikátu pro účely testování použijte rutinu New-SelfSignedCertificate .

Vytváření úložišť certifikátů

Cert: Na jednotce rutina New-Item vytvoří úložiště certifikátů v LocalMachine umístění úložiště. Podporuje parametry Name, Path, WhatIf a Confirm . Všechny ostatní parametry jsou ignorovány. Příkaz vrátí System.Security.Cryptography.X509Certificates.X509Store , který představuje nové úložiště certifikátů.

Tento příkaz vytvoří nové úložiště certifikátů pojmenované CustomStoreLocalMachine v umístění úložiště.

New-Item -Path cert:\LocalMachine\CustomStore

Vytvoření nového úložiště certifikátů na vzdáleném počítači

Tento příkaz vytvoří nové úložiště certifikátů pojmenované HostingStore v LocalMachine umístění úložiště na počítači Server01.

Příkaz používá rutinu Invoke-CommandNew-Item ke spuštění příkazu na počítači Server01. Příkaz vrátí System.Security.Cryptography.X509Certificates.X509Store , který představuje nové úložiště certifikátů.

Invoke-Command { New-Item -Path cert:\LocalMachine\CustomStore } `
  -ComputerName Server01

Vytváření klientských certifikátů pro WS-Man

Tento příkaz vytvoří položku ClientCertificate , kterou může používat klient WS-Management . Nový ClientCertificate se zobrazí v adresáři ClientCertificate jako ClientCertificate_1234567890. Všechny parametry jsou povinné. Vystavitel musí být kryptografický otisk certifikátu vystavitele.

$cred = Get-Credential
New-Item -Path WSMan:\localhost\ClientCertificate `
         -Issuer 1b3fd224d66c6413fe20d21e38b304226d192dfe `
         -URI wmicimv2/* -Credential $cred

Odstranění úložišť certifikátů

Odstranění úložiště certifikátů ze vzdáleného počítače

Tento příkaz používá rutinu Invoke-CommandRemove-Item ke spuštění příkazu na počítačích S1 a S2. Příkaz Remove-Item obsahuje parametr Recurse , který před odstraněním úložiště odstraní certifikáty v úložišti.

Invoke-Command { Remove-Item -Path cert:\LocalMachine\TestStore -Recurse } `
  -ComputerName S1, S2

Dynamické parametry

Dynamické parametry jsou parametry rutiny přidané poskytovatelem PowerShellu a jsou k dispozici pouze v případech, kdy se rutina používá na jednotce s podporou zprostředkovatele. Tyto parametry jsou platné ve všech podadresářích zprostředkovatele certifikátu , ale jsou platné pouze pro certifikáty.

Poznámka

Parametry, které provádějí filtrování proti EnhancedKeyUsageList vlastnost také vracejí položky s prázdnou Hodnotou Vlastnosti EnhancedKeyUsageList . Certifikáty, které mají prázdný EnhancedKeyUsageList , lze použít pro všechny účely.

V PowerShellu 7.1 byly znovu vyvolány následující parametry zprostředkovatele certifikátu.

  • DNSName
  • DocumentEncryptionCert
  • EKU
  • ExpiringInDays
  • SSLServerAuthentication

CodeSigningCert <System.Management.Automation.SwitchParameter>

Podporované rutiny

Tento parametr získá certifikáty, které mají Code Signing v hodnotě vlastnosti EnhancedKeyUsageList .

DeleteKey <System.Management.Automation.SwitchParameter>

Podporované rutiny

Tento parametr odstraní přidružený privátní klíč při odstranění certifikátu.

Důležité

Pokud chcete odstranit privátní klíč přidružený k uživatelskému certifikátu v Cert:\CurrentUser úložišti na vzdáleném počítači, musíte použít delegované přihlašovací údaje. Rutina Invoke-Command podporuje delegování přihlašovacích údajů pomocí parametru CredSSP . Před použitím Remove-ItemInvoke-Command delegování přihlašovacích údajů a delegování přihlašovacích údajů byste měli zvážit všechna rizika zabezpečení.

Tento parametr byl znovu vyvolána v PowerShellu 7.1.

DnsName <Microsoft.PowerShell.Commands.DnsNameRepresentation>

Podporované rutiny

Tento parametr získá certifikáty, které mají zadaný název domény nebo vzor názvu v DNSNameList vlastnost certifikátu. Hodnota tohoto parametru může být Unicode nebo ASCII. Punycode hodnoty jsou převedeny na Unicode. Jsou povoleny zástupné znaky (*).

Tento parametr byl znovu vyvolána v PowerShellu 7.1.

DocumentEncryptionCert <System.Management.Automation.SwitchParameter>

Podporované rutiny

Tento parametr získá certifikáty, které mají Document Encryption v hodnotě vlastnosti EnhancedKeyUsageList .

EKU <System.String>

Podporované rutiny

Tento parametr získá certifikáty, které mají zadaný text nebo textový vzor v EnhancedKeyUsageList vlastnost certifikátu. Jsou povoleny zástupné znaky (*). EnhancedKeyUsageList vlastnost obsahuje popisný název a pole OID EKU.

Tento parametr byl znovu vyvolána v PowerShellu 7.1.

ExpiringInDays <System.Int32>

Podporované rutiny

Tento parametr získá certifikáty, jejichž platnost vyprší nebo před zadaným počtem dnů. Hodnota nuly (0) získá certifikáty, jejichž platnost vypršela.

Tento parametr byl znovu vyvolána v PowerShellu 7.1.

ItemType <System.String>

Tento parametr umožňuje zadat typ položky vytvořené .New-Item

Certificate Na jednotce jsou povoleny následující hodnoty:

  • Certificate Provider
  • Certificate
  • Store
  • StoreLocation

Podporované rutiny

SSLServerAuthentication <System.Management.Automation.SwitchParameter>

Podporované rutiny

Získá pouze certifikáty serveru pro hostování webů SSL. Tento parametr získá certifikáty, které mají Server Authentication v hodnotě vlastnosti EnhancedKeyUsageList .

Tento parametr byl znovu vyvolána v PowerShellu 7.1.

Vlastnosti skriptu

Do objektu x509Certificate2 byly přidány nové vlastnosti skriptu, které představují certifikáty, které usnadňují vyhledávání a správu certifikátů.

  • DnsNameList: Chcete-li naplnit vlastnost DnsNameList , poskytovatel certifikátu zkopíruje obsah z položky DNSName v rozšíření SubjectAlternativeName (SAN). Pokud je rozšíření SAN prázdné, vlastnost se naplní obsahem z pole Předmět certifikátu.
  • EnhancedKeyUsageList: Chcete-li naplnit Vlastnost EnhancedKeyUsageList , poskytovatel certifikátu zkopíruje vlastnosti OID pole EnhancedKeyUsage (EKU) v certifikátu a vytvoří pro něj popisný název.
  • SendAsTrustedIssuer: Chcete-li naplnit vlastnost SendAsTrustedIssuer , poskytovatel certifikátu zkopíruje vlastnost SendAsTrustedIssuer z certifikátu. Další informace najdete v tématu Správa důvěryhodných vystavitelů pro ověřování klientů.

Tyto nové funkce umožňují vyhledávat certifikáty na základě jejich názvů DNS a dat vypršení platnosti a rozlišovat certifikáty ověřování klientů a serverů podle hodnoty jejich vlastností rozšířeného použití klíče (EKU).

Použití kanálu

Rutiny zprostředkovatele přijímají vstup kanálu. Kanál můžete použít ke zjednodušení úloh odesláním dat zprostředkovatele z jedné rutiny do jiné rutiny zprostředkovatele. Další informace o používání kanálu s rutinami zprostředkovatele najdete v odkazech na rutiny rutin v tomto článku.

Získání nápovědy

Od PowerShellu 3.0 můžete získat přizpůsobená témata nápovědy pro rutiny zprostředkovatele, které vysvětlují, jak se tyto rutiny chovají na jednotce systému souborů.

Pokud chcete získat témata nápovědy, která jsou přizpůsobená pro jednotku systému souborů, spusťte příkaz Get-Help na jednotce systému souborů nebo použijte -Path parametr Get-Help určení jednotky systému souborů.

Get-Help Get-ChildItem
Get-Help Get-ChildItem -Path cert:

Viz také