Set-AuthenticodeSignature
Agrega una firma Authenticode a un script de PowerShell u otro archivo.
Syntax
Set-AuthenticodeSignature
[-Certificate] <X509Certificate2>
[-IncludeChain <String>]
[-TimestampServer <String>]
[-HashAlgorithm <String>]
[-Force]
[-FilePath] <String[]>
[-WhatIf]
[-Confirm]
[<CommonParameters>] Set-AuthenticodeSignature
[-Certificate] <X509Certificate2>
[-IncludeChain <String>]
[-TimestampServer <String>]
[-HashAlgorithm <String>]
[-Force]
-LiteralPath <String[]>
[-WhatIf]
[-Confirm]
[<CommonParameters>] Set-AuthenticodeSignature
[-Certificate] <X509Certificate2>
[-IncludeChain <String>]
[-TimestampServer <String>]
[-HashAlgorithm <String>]
[-Force]
-SourcePathOrExtension <String[]>
-Content <Byte[]>
[-WhatIf]
[-Confirm]
[<CommonParameters>] Description
Este cmdlet solo está disponible en la plataforma Windows.
El Set-AuthenticodeSignature cmdlet agrega una firma Authenticode a cualquier archivo que admita Subject Interface Package (SIP).
En un archivo de script de PowerShell, la firma adopta la forma de un bloque de texto que indica el final de las instrucciones que se ejecutan en el script. Si hay una firma en el archivo cuando se ejecuta este cmdlet, se quita esa firma.
Ejemplos
Ejemplo 1: Firmar un script mediante un certificado del almacén de certificados local
Estos comandos recuperan un certificado de firma de código del proveedor de certificados de PowerShell y lo usan para firmar un script de PowerShell.
$cert=Get-ChildItem -Path Cert:\CurrentUser\My -CodeSigningCert
Set-AuthenticodeSignature -FilePath PsTestInternet2.ps1 -Certificate $certEl primer comando usa el Get-ChildItem cmdlet y el proveedor de certificados de PowerShell para obtener los certificados en el Cert:\CurrentUser\My subdirectorio del almacén de certificados. La Cert: unidad es la unidad expuesta por el proveedor de certificados. El parámetro CodeSigningCert , que solo es compatible con el proveedor de certificados, limita los certificados recuperados a los que tienen entidad de firma de código. El comando almacena el resultado en la $cert variable .
El segundo comando usa el Set-AuthenticodeSignature cmdlet para firmar el PSTestInternet2.ps1 script. Usa el parámetro FilePath para especificar el nombre del script y el parámetro Certificate para especificar que el certificado se almacena en la $cert variable .
Nota:
El uso del parámetro CodeSigningCert con Get-ChildItem solo devuelve certificados que tienen entidad de firma de código y contienen una clave privada. Si no hay ninguna clave privada, los certificados no se pueden usar para firmar.
Ejemplo 2: Firmar un script mediante un certificado de un archivo PFX
Estos comandos usan el Get-PfxCertificate cmdlet para cargar un certificado de firma de código. A continuación, úselo para firmar un script de PowerShell.
$cert = Get-PfxCertificate -FilePath C:\Test\Mysign.pfx
Set-AuthenticodeSignature -FilePath ServerProps.ps1 -Certificate $certEl primer comando usa el Get-PfxCertificate cmdlet para cargar el certificado C:\Test\MySign.pfx en la $cert variable.
El segundo comando usa Set-AuthenticodeSignature para firmar el script. El parámetro FilePath de especifica la ruta de Set-AuthenticodeSignature acceso al archivo de script que se firma y el parámetro Cert pasa la $cert variable que contiene el certificado a Set-AuthenticodeSignature.
Si el archivo de certificado está protegido con contraseña, PowerShell le pedirá la contraseña.
Ejemplo 3: Agregar una firma que incluya la entidad raíz
Este comando agrega una firma digital que incluye la entidad de certificación raíz en la cadena de confianza y está firmado por un servidor de marca de tiempo de terceros.
Set-AuthenticodeSignature -FilePath c:\scripts\Remodel.ps1 -Certificate $cert -IncludeChain All -TimestampServer "https://timestamp.fabrikam.com/scripts/timstamper.dll"El comando usa el parámetro FilePath para especificar el script que se firma y el parámetro Certificate para especificar el certificado que se guarda en la $cert variable. Usa el parámetro IncludeChain para incluir todas las firmas de la cadena de confianza, incluida la entidad raíz. También usa el parámetro TimeStampServer para agregar una marca de tiempo a la firma.
Esto evita que el script genere un error cuando el certificado expira.
Parámetros
-Certificate
Especifica el certificado que se usará para firmar el script o el archivo. Escriba una variable que almacene un objeto que represente al certificado o una expresión que obtenga el certificado.
Para buscar un certificado, use Get-PfxCertificate o use el Get-ChildItem cmdlet en la unidad de certificado Cert: . Si el certificado no es válido o no tiene code-signing autoridad, se produce un error en el comando.
| Type: | X509Certificate2 |
| Position: | 1 |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Confirm
Le solicita su confirmación antes de ejecutar el cmdlet.
| Type: | SwitchParameter |
| Aliases: | cf |
| Position: | Named |
| Default value: | False |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Content
Este parámetro aparece en la lista de sintaxis porque se define en la clase base de la que Set-AuthenticodeSignature se deriva. Sin embargo, la compatibilidad con este parámetro no se implementa en Set-AuthenticodeSignature.
| Type: | Byte[] |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-FilePath
Especifica la ruta de acceso a un archivo que se está firmando.
| Type: | String[] |
| Position: | 1 |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-Force
Permite que el cmdlet anexe una firma a un archivo de solo lectura. Incluso con el parámetro Force , el cmdlet no puede invalidar las restricciones de seguridad.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | False |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-HashAlgorithm
Especifica el algoritmo hash que usa Windows para calcular la firma digital del archivo.
Para PowerShell 7.3, el valor predeterminado es SHA256, que es el algoritmo hash predeterminado de Windows. Para versiones anteriores, el valor predeterminado es SHA1. Puede que los archivos firmados con otro algoritmo hash no se reconozcan en otros sistemas. Los algoritmos que se admiten dependen de la versión del sistema operativo.
Para obtener una lista de los valores posibles, vea HashAlgorithmName Struct.
| Type: | String |
| Position: | Named |
| Default value: | SHA256 |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-IncludeChain
Determina qué certificados de la cadena de certificados de confianza se incluyen en la firma digital. NotRoot es el valor predeterminado.
Los valores válidos son:
- Firmante: incluye solo el certificado del firmante.
- NotRoot: incluye todos los certificados de la cadena de certificados, excepto para la entidad raíz.
- All: incluye todos los certificados de la cadena de certificados.
| Type: | String |
| Position: | Named |
| Default value: | NotRoot |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-LiteralPath
Especifica la ruta de acceso a un archivo que se está firmando. A diferencia de FilePath, el valor del parámetro LiteralPath se usa exactamente como se escribe. Ninguno de los caracteres se interpreta como caracteres comodín. Si la ruta de acceso contiene caracteres de escape, escríbalos entre comillas simples. Las comillas simples indican a PowerShell que no interprete ningún carácter como secuencias de escape.
| Type: | String[] |
| Aliases: | PSPath |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-SourcePathOrExtension
Este parámetro aparece en la lista de sintaxis porque se define en la clase base de la que Set-AuthenticodeSignature se deriva. Sin embargo, la compatibilidad con este parámetro no se implementa en Set-AuthenticodeSignature.
| Type: | String[] |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-TimestampServer
Usa el servidor de marca de tiempo especificado para agregar una marca de tiempo a la firma. Escriba la URL del servidor de marca de tiempo como una cadena. La dirección URL debe comenzar con https:// o http://.
La marca de tiempo representa la hora exacta a la que se agregó el certificado al archivo. Una marca de tiempo evita que el script genere un error si el certificado expira porque los usuarios y programas pueden comprobar que el certificado era válido en el momento de la firma.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-WhatIf
Muestra lo que sucedería si se ejecutara el cmdlet. El cmdlet no se ejecuta.
| Type: | SwitchParameter |
| Aliases: | wi |
| Position: | Named |
| Default value: | False |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
Entradas
Puede canalizar una cadena que contenga la ruta de acceso del archivo a este cmdlet.
Salidas
Este cmdlet devuelve un objeto Signature que representa el valor establecido.
Notas
Este cmdlet solo está disponible en plataformas Windows.
