Freigeben über


Set-AuthenticodeSignature

Fügt einem PowerShell-Skript oder einer anderen Datei eine Authenticode-Signatur hinzu.

Syntax

Set-AuthenticodeSignature
   [-Certificate] <X509Certificate2>
   [-IncludeChain <String>]
   [-TimestampServer <String>]
   [-HashAlgorithm <String>]
   [-Force]
   [-FilePath] <String[]>
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]
Set-AuthenticodeSignature
   [-Certificate] <X509Certificate2>
   [-IncludeChain <String>]
   [-TimestampServer <String>]
   [-HashAlgorithm <String>]
   [-Force]
   -LiteralPath <String[]>
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]
Set-AuthenticodeSignature
   [-Certificate] <X509Certificate2>
   [-IncludeChain <String>]
   [-TimestampServer <String>]
   [-HashAlgorithm <String>]
   [-Force]
   -SourcePathOrExtension <String[]>
   -Content <Byte[]>
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]

Beschreibung

Das Set-AuthenticodeSignature Cmdlet fügt jeder Datei, die das Subject Interface Package (SIP) unterstützt, eine Authenticode-Signatur hinzu.

In einer PowerShell-Skriptdatei hat die Signatur die Form eines Textblocks, der das Ende der Anweisungen angibt, die im Skript ausgeführt werden. Wenn beim Ausführen dieses Cmdlets eine Signatur in der Datei vorhanden ist, wird die Signatur entfernt.

Beispiele

Beispiel 1: Signieren eines Skripts mithilfe eines Zertifikats aus dem lokalen Zertifikatspeicher

Diese Befehle rufen ein Codesignaturzertifikat vom PowerShell-Zertifikatanbieter ab und verwenden es zum Signieren eines PowerShell-Skripts.

$cert=Get-ChildItem -Path Cert:\CurrentUser\My -CodeSigningCert
Set-AuthenticodeSignature -FilePath PsTestInternet2.ps1 -Certificate $cert

Der erste Befehl verwendet das Get-ChildItem Cmdlet und den PowerShell-Zertifikatanbieter, um die Zertifikate im Cert:\CurrentUser\My Unterverzeichnis des Zertifikatspeichers abzurufen. Das Cert: Laufwerk ist das Laufwerk, das vom Zertifikatanbieter verfügbar gemacht wird. Der CodeSigningCert-Parameter , der nur vom Zertifikatanbieter unterstützt wird, beschränkt die abgerufenen Zertifikate auf zertifikate mit Codesignaturautorität. Der Befehl speichert das Ergebnis in der $cert Variablen.

Der zweite Befehl verwendet das Set-AuthenticodeSignature Cmdlet, um das PSTestInternet2.ps1 Skript zu signieren. Es verwendet den FilePath-Parameter , um den Namen des Skripts und den Certificate-Parameter anzugeben, um anzugeben, dass das Zertifikat in der $cert Variablen gespeichert wird.

Hinweis

Wenn Sie den CodeSigningCert-Parameter mit verwenden Get-ChildItem , werden nur Zertifikate zurückgegeben, die über eine Codesignaturautorität verfügen und einen privaten Schlüssel enthalten. Wenn kein privater Schlüssel vorhanden ist, können die Zertifikate nicht zum Signieren verwendet werden.

Beispiel 2: Signieren eines Skripts mithilfe eines Zertifikats aus einer PFX-Datei

Diese Befehle verwenden das Get-PfxCertificate Cmdlet, um ein Codesignaturzertifikat zu laden. Verwenden Sie sie dann, um ein PowerShell-Skript zu signieren.

$cert = Get-PfxCertificate -FilePath C:\Test\Mysign.pfx
Set-AuthenticodeSignature -FilePath ServerProps.ps1 -Certificate $cert

Der erste Befehl verwendet das Get-PfxCertificate Cmdlet, um das Zertifikat C:\Test\MySign.pfx in die $cert Variable zu laden.

Der zweite Befehl verwendet Set-AuthenticodeSignature , um das Skript zu signieren. Der FilePath-Parameter von Set-AuthenticodeSignature gibt den Pfad zur zu signierten Skriptdatei an, und der Cert-Parameter übergibt die $cert Variable, die das Zertifikat enthält, an Set-AuthenticodeSignature.

Wenn die Zertifikatdatei kennwortgeschützter ist, werden Sie von PowerShell zur Eingabe des Kennworts aufgefordert.

Beispiel 3: Hinzufügen einer Signatur, die die Stammautorität enthält

Dieser Befehl fügt eine digitale Signatur hinzu, die die Stammzertifizierungsstelle in der Vertrauenskette enthält, und wird von einem Zeitstempelserver eines Drittanbieters signiert.

Set-AuthenticodeSignature -FilePath c:\scripts\Remodel.ps1 -Certificate $cert -IncludeChain All -TimestampServer "http://timestamp.fabrikam.com/scripts/timstamper.dll"

Der Befehl verwendet den FilePath-Parameter , um das zu signierte Skript und den Certificate-Parameter anzugeben, um das zertifikat anzugeben, das in der $cert Variablen gespeichert ist. Der IncludeChain-Parameter wird verwendet, um alle Signaturen in die Vertrauenskette einzuschließen, einschließlich der Stammautorität. Außerdem wird der TimeStampServer-Parameter verwendet, um der Signatur einen Zeitstempel hinzuzufügen. Dadurch wird verhindert, dass das Skript bei Ablauf des Zertifikats einen Fehler verursacht.

Parameter

-Certificate

Gibt das Zertifikat an, das verwendet wird, um das Skript oder die Datei zu signieren. Geben Sie eine Variable ein, die ein Objekt speichert, das das Zertifikat oder einen Ausdruck darstellt, der das Zertifikat abruft.

Verwenden Sie Get-PfxCertificate das Get-ChildItem Cmdlet im Zertifikatlaufwerk Cert: , um ein Zertifikat zu finden. Wenn das Zertifikat ungültig ist oder über keine code-signing Autorität verfügt, schlägt der Befehl fehl.

Type:X509Certificate2
Position:1
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False

-Confirm

Hiermit werden Sie vor der Ausführung des Cmdlets zur Bestätigung aufgefordert.

Type:SwitchParameter
Aliases:cf
Position:Named
Default value:False
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-Content

Inhalt einer Datei als Bytearray, für das die digitale Signatur hinzugefügt wird. Dieser Parameter muss mit dem SourcePathOrExtension-Parameter verwendet werden. Der Inhalt der Datei muss im Unicode-Format (UTF-16LE) vorliegen.

Type:Byte[]
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-FilePath

Gibt den Pfad zu einer Datei an, die signiert wird.

Type:String[]
Position:1
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-Force

Ermöglicht es dem Cmdlet, eine Signatur an eine schreibgeschützte Datei anzufügen. Selbst mit dem Force-Parameter kann das Cmdlet keine Sicherheitseinschränkungen außer Kraft setzen.

Type:SwitchParameter
Position:Named
Default value:False
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-HashAlgorithm

Gibt den Hashalgorithmus an, den Windows verwendet, um die digitale Signatur für die Datei zu berechnen.

Für PowerShell 3.0 ist der Standardwert SHA256, der Windows-Standardhashingalgorithmus. Für PowerShell 2.0 ist der Standardwert SHA1. Dateien, die mit einem anderen Hashalgorithmus signiert sind, werden auf anderen Systemen möglicherweise nicht erkannt. Welche Algorithmen unterstützt werden, hängt von der Version des Betriebssystems ab.

Eine Liste der möglichen Werte finden Sie unter HashAlgorithmName-Struktur.

Type:String
Position:Named
Default value:SHA256
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-IncludeChain

Bestimmt, welche Zertifikate in der Zertifikatvertrauenskette in der digitalen Signatur enthalten sind. NotRoot ist die Standardeinstellung.

Gültige Werte sind:

  • Signierer: Enthält nur das Zertifikat des Signierers.
  • NotRoot: Umfasst alle Zertifikate in der Zertifikatkette, mit Ausnahme der Stammzertifizierungsstelle.
  • Alle: Enthält alle Zertifikate in der Zertifikatkette.
Type:String
Position:Named
Default value:NotRoot
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-LiteralPath

Gibt den Pfad zu einer Datei an, die signiert wird. Im Gegensatz zu FilePath wird der Wert des LiteralPath-Parameters genau wie eingegeben verwendet. Es werden keine Zeichen als Platzhalter interpretiert. Wenn der Pfad Escapezeichen enthält, müssen Sie ihn in einfache Anführungszeichen einschließen. Einfache Anführungszeichen weisen PowerShell an, keine Zeichen als Escapesequenzen zu interpretieren.

Type:String[]
Aliases:PSPath
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-SourcePathOrExtension

Pfad zum Datei- oder Dateityp des Inhalts, für den die digitale Signatur hinzugefügt wird. Dieser Parameter wird mit Content verwendet, wobei Dateiinhalte als Bytearray übergeben werden.

Type:String[]
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-TimestampServer

Verwendet den angegebenen Zeitstempelserver, um der Signatur einen Zeitstempel hinzuzufügen. Geben Sie die URL des Zeitstempelservers als Zeichenfolge ein.

Der Zeitstempel gibt die genaue Zeit an, zu der das Zertifikat der Datei hinzugefügt wurde. Ein Zeitstempel verhindert, dass das Skript fehlschlägt, wenn das Zertifikat abläuft, da Benutzer und Programme sicherstellen können, dass das Zertifikat beim Signieren gültig war.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-WhatIf

Zeigt, was geschieht, wenn das Cmdlet ausgeführt wird. Das Cmdlet wird nicht ausgeführt.

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:False
Required:False
Accept pipeline input:False
Accept wildcard characters:False

Eingaben

String

Sie können eine Zeichenfolge, die den Dateipfad enthält, an übergeben Set-AuthenticodeSignature.

Ausgaben

Signature

Hinweise

Dieses Cmdlet ist nur auf Windows-Plattformen verfügbar.