Set-AuthenticodeSignature
Přidá podpis Authenticode do skriptu PowerShellu nebo jiného souboru.
Syntax
Set-AuthenticodeSignature
[-Certificate] <X509Certificate2>
[-IncludeChain <String>]
[-TimestampServer <String>]
[-HashAlgorithm <String>]
[-Force]
[-FilePath] <String[]>
[-WhatIf]
[-Confirm]
[<CommonParameters>] Set-AuthenticodeSignature
[-Certificate] <X509Certificate2>
[-IncludeChain <String>]
[-TimestampServer <String>]
[-HashAlgorithm <String>]
[-Force]
-LiteralPath <String[]>
[-WhatIf]
[-Confirm]
[<CommonParameters>] Set-AuthenticodeSignature
[-Certificate] <X509Certificate2>
[-IncludeChain <String>]
[-TimestampServer <String>]
[-HashAlgorithm <String>]
[-Force]
-SourcePathOrExtension <String[]>
-Content <Byte[]>
[-WhatIf]
[-Confirm]
[<CommonParameters>] Description
Tato rutina je dostupná jenom na platformě Windows.
Rutina Set-AuthenticodeSignature přidá podpis Authenticode do libovolného souboru, který podporuje balíček SIP (Subject Interface Package).
V souboru skriptu PowerShellu má podpis formu bloku textu, který označuje konec pokynů, které jsou spuštěny ve skriptu. Pokud je v souboru při spuštění této rutiny podpis, odebere se tento podpis.
Příklady
Příklad 1 – Podepsání skriptu pomocí certifikátu z místního úložiště certifikátů
Tyto příkazy načtou podpisový certifikát kódu od zprostředkovatele certifikátu PowerShellu a použijí ho k podepsání skriptu PowerShellu.
$cert=Get-ChildItem -Path Cert:\CurrentUser\My -CodeSigningCert
$signingParameters = @{
FilePath = 'PsTestInternet2.ps1'
Certificate = $cert
HashAlgorithm = 'SHA256'
}
Set-AuthenticodeSignature @signingParametersPrvní příkaz používá rutinu Get-ChildItem a poskytovatele certifikátů PowerShellu k získání certifikátů v Cert:\CurrentUser\My podadresáři úložiště certifikátů. Jednotka Cert: je jednotka vystavená poskytovatelem certifikátu. Parametr CodeSigningCert , který je podporován pouze poskytovatelem certifikátu, omezuje certifikáty načtené na ty, které mají podpisovou autoritu kódu. Příkaz uloží výsledek do $cert proměnné.
Druhý příkaz definuje $signingParameters proměnnou jako HashTable s parametry, které rutina Set-AuthenticodeSignature podepíše PSTestInternet2.ps1 skript. Pomocí parametru FilePath určuje název skriptu, parametr Certificate k určení, že certifikát je uložen v $cert proměnné, a hashAlgorithm parametr pro nastavení algoritmu hash na SHA256.
Třetí příkaz podepíše skript tak, že nasadí parametry definované v $signingParameters.
Poznámka:
Použití parametru CodeSigningCert pouze Get-ChildItem vrací certifikáty, které mají podpisovou autoritu kódu a obsahují privátní klíč. Pokud neexistuje žádný privátní klíč, certifikáty se nedají použít k podepisování.
Příklad 2 – Podepsání skriptu pomocí certifikátu ze souboru PFX
Tyto příkazy používají rutinu Get-PfxCertificate k načtení podpisového certifikátu kódu. Pak ho použijte k podepsání skriptu PowerShellu.
$cert = Get-PfxCertificate -FilePath C:\Test\Mysign.pfx
$signingParameters = @{
FilePath = 'ServerProps.ps1'
Certificate = $cert
HashAlgorithm = 'SHA256'
}
Set-AuthenticodeSignature @signingParametersPrvní příkaz použije rutinu Get-PfxCertificate k načtení certifikátu C:\Test\MySign.pfx do $cert proměnné.
Druhý příkaz definuje $signingParameters proměnnou jako HashTable s parametry, které rutina Set-AuthenticodeSignature podepíše ServerProps.ps1 skript. Pomocí parametru FilePath určuje název skriptu, parametr Certificate k určení, že certifikát je uložen v $cert proměnné, a hashAlgorithm parametr pro nastavení algoritmu hash na SHA256.
Třetí příkaz podepíše skript tak, že nasadí parametry definované v $signingParameters.
Pokud je soubor certifikátu chráněný heslem, PowerShell vás vyzve k zadání hesla.
Příklad 3 – Přidání podpisu, který obsahuje kořenovou autoritu
Tento příkaz přidá digitální podpis, který obsahuje kořenovou autoritu v řetězu důvěryhodnosti a je podepsaný serverem časového razítka třetí strany.
$signingParameters = @{
FilePath = 'C:\scripts\Remodel.ps1'
Certificate = $cert
HashAlgorithm = 'SHA256'
IncludeChain = 'All'
TimestampServer = 'http://timestamp.fabrikam.com/scripts/timstamper.dll'
}
Set-AuthenticodeSignature @signingParametersPrvní příkaz definuje $signingParameters proměnnou jako HashTable s parametry, které rutina Set-AuthenticodeSignature podepíše skript. Pomocí parametru FilePath určuje cestu ke skriptu, parametr Certificate k určení, že certifikát je uložen v $cert proměnné, a hashAlgorithm parametr k nastavení algoritmu hash na SHA256. Používá parametr IncludeChain k zahrnutí všech podpisů v řetězci důvěryhodnosti, včetně kořenové autority. Používá také parametr TimeStampServer k přidání časového razítka do podpisu. Tím se zabrání selhání skriptu při vypršení platnosti certifikátu.
Druhý příkaz podepíše skript tak, že vypíše parametry definované v $signingParameters.
Parametry
-Certificate
Určuje certifikát, který se použije k podepsání skriptu nebo souboru. Zadejte proměnnou, která ukládá objekt představující certifikát nebo výraz, který certifikát získá.
Pokud chcete najít certifikát, použijte Get-PfxCertificate nebo použijte rutinu Get-ChildItem na jednotce Certificate Cert: . Pokud certifikát není platný nebo nemá code-signing autoritu, příkaz selže.
| Type: | X509Certificate2 |
| Position: | 1 |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Confirm
Před spuštěním rutiny zobrazí výzvu k potvrzení.
| Type: | SwitchParameter |
| Aliases: | cf |
| Position: | Named |
| Default value: | False |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Content
Tento parametr se zobrazí v seznamu syntaxe, protože je definován v základní třídě, která Set-AuthenticodeSignature je odvozena. Podpora tohoto parametru však není implementována v Set-AuthenticodeSignature.
| Type: | Byte[] |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-FilePath
Určuje cestu k souboru, který je podepsán.
| Type: | String[] |
| Position: | 1 |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-Force
Umožňuje rutině připojit podpis k souboru jen pro čtení. I pomocí parametru Force nemůže rutina přepsat omezení zabezpečení.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | False |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-HashAlgorithm
Určuje algoritmus hash, který Systém Windows používá k výpočtu digitálního podpisu souboru.
Výchozím je SHA1. Soubory podepsané jiným algoritmem hash nemusí být rozpoznány v jiných systémech. Podporované algoritmy závisí na verzi operačního systému.
Seznam možných hodnot naleznete v tématu HashAlgorithmName Struct.
| Type: | String |
| Position: | Named |
| Default value: | Null |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-IncludeChain
Určuje, které certifikáty v řetězu důvěryhodnosti certifikátů jsou součástí digitálního podpisu. NotRoot je výchozí hodnota.
Platné hodnoty jsou:
- Podepisující osoby: Zahrnuje pouze certifikát podepisující osoby.
- NotRoot: Zahrnuje všechny certifikáty v řetězu certifikátů s výjimkou kořenové autority.
- Vše: Zahrnuje všechny certifikáty v řetězu certifikátů.
| Type: | String |
| Position: | Named |
| Default value: | NotRoot |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-LiteralPath
Určuje cestu k souboru, který je podepsán. Na rozdíl od FilePath se hodnota parametru LiteralPath používá přesně tak, jak je zadána. Žádné znaky nejsou interpretovány jako zástupné znaky. Pokud cesta obsahuje řídicí znaky, uzavřete ji do jednoduchých uvozovek. Jednoduché uvozovky říkají PowerShellu, aby nepřekládaly žádné znaky jako řídicí sekvence.
| Type: | String[] |
| Aliases: | PSPath |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-SourcePathOrExtension
Tento parametr se zobrazí v seznamu syntaxe, protože je definován v základní třídě, která Set-AuthenticodeSignature je odvozena. Podpora tohoto parametru však není implementována v Set-AuthenticodeSignature.
| Type: | String[] |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-TimestampServer
Použije zadaný server časového razítka k přidání časového razítka k podpisu. Jako řetězec zadejte adresu URL serveru s časovým razítkem.
Časové razítko představuje přesný čas, kdy byl certifikát přidán do souboru. Časové razítko zabraňuje selhání skriptu, pokud vyprší platnost certifikátu, protože uživatelé a programy můžou ověřit platnost certifikátu při podepisování.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-WhatIf
Zobrazuje, co by se stalo při spuštění rutiny. Rutina není spuštěna.
| Type: | SwitchParameter |
| Aliases: | wi |
| Position: | Named |
| Default value: | False |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
Vstupy
Do této rutiny můžete zamísit řetězec obsahující cestu k souboru.
Výstupy
Tato rutina vrátí objekt Signature představující hodnotu, kterou nastavil.
Poznámky
Tato rutina je dostupná jenom na platformách Windows.
Související odkazy
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro