Compartir a través de


Set-AuthenticodeSignature

Agrega una firma Authenticode a un script de PowerShell u otro archivo.

Syntax

Set-AuthenticodeSignature
   [-Certificate] <X509Certificate2>
   [-IncludeChain <String>]
   [-TimestampServer <String>]
   [-HashAlgorithm <String>]
   [-Force]
   [-FilePath] <String[]>
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]
Set-AuthenticodeSignature
   [-Certificate] <X509Certificate2>
   [-IncludeChain <String>]
   [-TimestampServer <String>]
   [-HashAlgorithm <String>]
   [-Force]
   -LiteralPath <String[]>
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]
Set-AuthenticodeSignature
   [-Certificate] <X509Certificate2>
   [-IncludeChain <String>]
   [-TimestampServer <String>]
   [-HashAlgorithm <String>]
   [-Force]
   -SourcePathOrExtension <String[]>
   -Content <Byte[]>
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]

Description

Este cmdlet solo está disponible en la plataforma Windows.

El Set-AuthenticodeSignature cmdlet agrega una firma Authenticode a cualquier archivo que admita Subject Interface Package (SIP).

En un archivo de script de PowerShell, la firma adopta la forma de un bloque de texto que indica el final de las instrucciones que se ejecutan en el script. Si hay una firma en el archivo cuando se ejecuta este cmdlet, se quita esa firma.

Ejemplos

Ejemplo 1: Firmar un script mediante un certificado del almacén de certificados local

Estos comandos recuperan un certificado de firma de código del proveedor de certificados de PowerShell y lo usan para firmar un script de PowerShell.

$cert=Get-ChildItem -Path Cert:\CurrentUser\My -CodeSigningCert
Set-AuthenticodeSignature -FilePath PsTestInternet2.ps1 -Certificate $cert

El primer comando usa el Get-ChildItem cmdlet y el proveedor de certificados de PowerShell para obtener los certificados en el Cert:\CurrentUser\My subdirectorio del almacén de certificados. La Cert: unidad es la unidad expuesta por el proveedor de certificados. El parámetro CodeSigningCert , que solo es compatible con el proveedor de certificados, limita los certificados recuperados a los que tienen entidad de firma de código. El comando almacena el resultado en la $cert variable .

El segundo comando usa el Set-AuthenticodeSignature cmdlet para firmar el PSTestInternet2.ps1 script. Usa el parámetro FilePath para especificar el nombre del script y el parámetro Certificate para especificar que el certificado se almacena en la $cert variable .

Nota:

El uso del parámetro CodeSigningCert con Get-ChildItem solo devuelve certificados que tienen entidad de firma de código y contienen una clave privada. Si no hay ninguna clave privada, los certificados no se pueden usar para firmar.

Ejemplo 2: Firmar un script mediante un certificado de un archivo PFX

Estos comandos usan el Get-PfxCertificate cmdlet para cargar un certificado de firma de código. A continuación, úselo para firmar un script de PowerShell.

$cert = Get-PfxCertificate -FilePath C:\Test\Mysign.pfx
Set-AuthenticodeSignature -FilePath ServerProps.ps1 -Certificate $cert

El primer comando usa el Get-PfxCertificate cmdlet para cargar el certificado C:\Test\MySign.pfx en la $cert variable.

El segundo comando usa Set-AuthenticodeSignature para firmar el script. El parámetro FilePath de especifica la ruta de Set-AuthenticodeSignature acceso al archivo de script que se firma y el parámetro Cert pasa la $cert variable que contiene el certificado a Set-AuthenticodeSignature.

Si el archivo de certificado está protegido con contraseña, PowerShell le pedirá la contraseña.

Ejemplo 3: Agregar una firma que incluya la entidad raíz

Este comando agrega una firma digital que incluye la entidad de certificación raíz en la cadena de confianza y está firmado por un servidor de marca de tiempo de terceros.

Set-AuthenticodeSignature -FilePath c:\scripts\Remodel.ps1 -Certificate $cert -IncludeChain All -TimestampServer "https://timestamp.fabrikam.com/scripts/timstamper.dll"

El comando usa el parámetro FilePath para especificar el script que se firma y el parámetro Certificate para especificar el certificado que se guarda en la $cert variable. Usa el parámetro IncludeChain para incluir todas las firmas de la cadena de confianza, incluida la entidad raíz. También usa el parámetro TimeStampServer para agregar una marca de tiempo a la firma. Esto evita que el script genere un error cuando el certificado expira.

Parámetros

-Certificate

Especifica el certificado que se usará para firmar el script o el archivo. Escriba una variable que almacene un objeto que represente al certificado o una expresión que obtenga el certificado.

Para buscar un certificado, use Get-PfxCertificate o use el Get-ChildItem cmdlet en la unidad de certificado Cert: . Si el certificado no es válido o no tiene code-signing autoridad, se produce un error en el comando.

Type:X509Certificate2
Position:1
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False

-Confirm

Le solicita su confirmación antes de ejecutar el cmdlet.

Type:SwitchParameter
Aliases:cf
Position:Named
Default value:False
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-Content

Este parámetro aparece en la lista de sintaxis porque se define en la clase base de la que Set-AuthenticodeSignature se deriva. Sin embargo, la compatibilidad con este parámetro no se implementa en Set-AuthenticodeSignature.

Type:Byte[]
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-FilePath

Especifica la ruta de acceso a un archivo que se está firmando.

Type:String[]
Position:1
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-Force

Permite que el cmdlet anexe una firma a un archivo de solo lectura. Incluso con el parámetro Force , el cmdlet no puede invalidar las restricciones de seguridad.

Type:SwitchParameter
Position:Named
Default value:False
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-HashAlgorithm

Especifica el algoritmo hash que usa Windows para calcular la firma digital del archivo.

Para PowerShell 7.3, el valor predeterminado es SHA256, que es el algoritmo hash predeterminado de Windows. Para versiones anteriores, el valor predeterminado es SHA1. Puede que los archivos firmados con otro algoritmo hash no se reconozcan en otros sistemas. Los algoritmos que se admiten dependen de la versión del sistema operativo.

Para obtener una lista de los valores posibles, vea HashAlgorithmName Struct.

Type:String
Position:Named
Default value:SHA256
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-IncludeChain

Determina qué certificados de la cadena de certificados de confianza se incluyen en la firma digital. NotRoot es el valor predeterminado.

Los valores válidos son:

  • Firmante: incluye solo el certificado del firmante.
  • NotRoot: incluye todos los certificados de la cadena de certificados, excepto para la entidad raíz.
  • All: incluye todos los certificados de la cadena de certificados.
Type:String
Position:Named
Default value:NotRoot
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-LiteralPath

Especifica la ruta de acceso a un archivo que se está firmando. A diferencia de FilePath, el valor del parámetro LiteralPath se usa exactamente como se escribe. Ninguno de los caracteres se interpreta como caracteres comodín. Si la ruta de acceso contiene caracteres de escape, escríbalos entre comillas simples. Las comillas simples indican a PowerShell que no interprete ningún carácter como secuencias de escape.

Type:String[]
Aliases:PSPath
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-SourcePathOrExtension

Este parámetro aparece en la lista de sintaxis porque se define en la clase base de la que Set-AuthenticodeSignature se deriva. Sin embargo, la compatibilidad con este parámetro no se implementa en Set-AuthenticodeSignature.

Type:String[]
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-TimestampServer

Usa el servidor de marca de tiempo especificado para agregar una marca de tiempo a la firma. Escriba la URL del servidor de marca de tiempo como una cadena. La dirección URL debe comenzar con https:// o http://.

La marca de tiempo representa la hora exacta a la que se agregó el certificado al archivo. Una marca de tiempo evita que el script genere un error si el certificado expira porque los usuarios y programas pueden comprobar que el certificado era válido en el momento de la firma.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-WhatIf

Muestra lo que sucedería si se ejecutara el cmdlet. El cmdlet no se ejecuta.

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:False
Required:False
Accept pipeline input:False
Accept wildcard characters:False

Entradas

String

Puede canalizar una cadena que contenga la ruta de acceso del archivo a este cmdlet.

Salidas

Signature

Este cmdlet devuelve un objeto Signature que representa el valor establecido.

Notas

Este cmdlet solo está disponible en plataformas Windows.