Udostępnij za pośrednictwem

about_Certificate_Provider

Nazwa dostawcy

Certyfikat

Drives

Cert:

Capabilities

ShouldProcess

Krótki opis

Zapewnia dostęp do magazynów certyfikatów X.509 i certyfikatów w programie PowerShell.

Szczegółowy opis

Te informacje dotyczą tylko programu PowerShell uruchomionego w systemie Windows.

Dostawca certyfikatów programu PowerShell umożliwia uzyskiwanie, dodawanie, zmienianie, czyszczenie i usuwanie certyfikatów oraz magazynów certyfikatów w programie PowerShell.

Dysk Certificate to hierarchiczna przestrzeń nazw zawierająca magazyny certyfikatów i certyfikaty na komputerze.

Dostawca certyfikatów obsługuje następujące polecenia cmdlet.

Typy uwidocznione przez tego dostawcę

Dysk certyfikatu uwidacznia następujące typy.

  • Microsoft.PowerShell.Commands.X509StoreLocation, które są kontenerami wysokiego poziomu, które grupują certyfikaty dla bieżącego użytkownika i dla wszystkich użytkowników. Każdy system ma lokalizację magazynu CurrentUser i LocalMachine (wszyscy użytkownicy).
  • System.Security.Cryptography.X509Certificates.X509Store, które są magazynami fizycznymi, w których certyfikaty są zapisywane i zarządzane.
  • System.Security.Cryptography.X509Certificates.X509Certificate2, z których każdy reprezentuje certyfikat X.509 na komputerze. Certyfikaty są identyfikowane przez ich odciski palca.

Dostawca certyfikatów uwidacznia przestrzeń nazw certyfikatów jako dysk Cert: w programie PowerShell. To polecenie używa polecenia Set-Location, aby zmienić bieżącą lokalizację na magazyn certyfikatów Root w lokalizacji magazynu LocalMachine. Użyj ukośnika odwrotnego (\) lub ukośnika (/), aby wskazać poziom dysku Cert:.

Set-Location Cert:

Możesz również pracować z dostawcą certyfikatów z dowolnego innego dysku programu PowerShell. Aby odwołać się do aliasu z innej lokalizacji, użyj nazwy dysku Cert: w ścieżce.

PS Cert:\> Set-Location -Path LocalMachine\Root

Aby powrócić do dysku systemu plików, wpisz nazwę dysku. Na przykład wpisz:

Set-Location C:

Nuta

Program PowerShell używa aliasów, aby umożliwić ci znaną pracę ze ścieżkami dostawcy. Polecenia, takie jak dir i ls, są teraz aliasami Get-ChildItem, cd jest aliasem Set-Location, a pwd jest aliasem Get-Location.

Wyświetlanie zawartości dysku Cert:

To polecenie używa polecenia cmdlet Get-ChildItem do wyświetlania magazynów certyfikatów w lokalizacji magazynu certyfikatów CurrentUser.

Jeśli nie znajdujesz się na dysku Cert:, użyj ścieżki bezwzględnej.

PS Cert:\CurrentUser\> Get-ChildItem

Wyświetlanie właściwości certyfikatu w ramach dysku Cert:

Ten przykład pobiera certyfikat z Get-Item i przechowuje go w zmiennej. W przykładzie przedstawiono nowe właściwości skryptu certyfikatu (DnsNameList, EnhancedKeyUsageList, SendAsTrustedIssuer) przy użyciu Select-Object.

$c = Get-Item Cert:\LocalMachine\My\52A149D0393CE8A8D4AF0B172ED667A9E3A1F44E
$c | Format-List DnsNameList, EnhancedKeyUsageList, SendAsTrustedIssuer

DnsNameList          : {SERVER01.contoso.com}
EnhancedKeyUsageList : {WiFi-Machine (1.3.6.1.4.1.311.42.2.6),
                       Client Authentication (1.3.6.1.5.5.7.3.2)}
SendAsTrustedIssuer  : False

Znajdź wszystkie certyfikaty CodeSigning

To polecenie używa parametrów CodeSigningCert i Recurse parametrów polecenia cmdlet Get-ChildItem, aby pobrać wszystkie certyfikaty na komputerze z urzędem podpisywania kodu.

Get-ChildItem -Path Cert: -CodeSigningCert -Recurse

Znajdowanie wygasłych certyfikatów

To polecenie używa parametru ExpiringInDays polecenia cmdlet Get-ChildItem w celu pobrania certyfikatów wygasających w ciągu najbliższych 30 dni.

Get-ChildItem -Path Cert:\LocalMachine\WebHosting -ExpiringInDays 30

Znajdowanie certyfikatów SSL serwera

To polecenie używa parametru SSLServerAuthentication polecenia cmdlet Get-ChildItem, aby pobrać wszystkie certyfikaty SSL serwera w magazynach My i WebHosting.

$getChildItemSplat = @{
    Path = 'Cert:\LocalMachine\My', 'Cert:\LocalMachine\WebHosting'
    SSLServerAuthentication = $true
}
Get-ChildItem @getChildItemSplat

Znajdowanie wygasłych certyfikatów na komputerach zdalnych

To polecenie używa polecenia cmdlet Invoke-Command do uruchomienia polecenia Get-ChildItem na komputerach Srv01 i Srv02. Wartość zero (0) w parametrze ExpiringInDays pobiera certyfikaty na komputerach Srv01 i Srv02, które wygasły.

$invokeCommandSplat = @{
    ComputerName = 'Srv01', 'Srv02'
    ScriptBlock = {
        Get-ChildItem -Path Cert:\* -Recurse -ExpiringInDays 0
    }
}
Invoke-Command @invokeCommandSplat

Łączenie filtrów w celu znalezienia określonego zestawu certyfikatów

To polecenie pobiera wszystkie certyfikaty w lokalizacji magazynu LocalMachine, które mają następujące atrybuty:

  • fabrikam w nazwie DNS
  • Client Authentication w ich EKU
  • wartość $true dla właściwości SendAsTrustedIssuer
  • nie wygasaj w ciągu najbliższych 30 dni.

Właściwość NotAfter przechowuje datę wygaśnięcia certyfikatu.

[datetime] $ValidThrough = (Get-Date) + (New-TimeSpan -Days 30)
$getChildItemSplat = @{
    Path = 'Cert:\*'
    Recurse = $true
    DnsName = "*fabrikam*"
    Eku = "*Client Authentication*"
}
Get-ChildItem @getChildItemSplat |
    Where-Object {
        $_.SendAsTrustedIssuer -and $_.NotAfter -gt $ValidThrough
    }

Otwieranie przystawki MMC certyfikatów

Polecenie cmdlet Invoke-Item używa domyślnej aplikacji do otwierania określonej ścieżki. W przypadku certyfikatów domyślną aplikacją jest przystawka MMC Certyfikaty.

To polecenie otwiera przystawkę MMC Certyfikaty, aby zarządzać określonym certyfikatem.

Invoke-Item Cert:\CurrentUser\my\6B8223358119BB08840DEE50FD8AF9EA776CE66B

Kopiowanie certyfikatów

Kopiowanie certyfikatów nie jest obsługiwane przez dostawcę certyfikatów. Podczas próby skopiowania certyfikatu zostanie wyświetlony ten błąd.

$path = "Cert:\LocalMachine\Root\E2C0F6662D3C569705B4B31FE2CBF3434094B254"
PS Cert:\LocalMachine\> Copy-Item -Path $path -Destination .\CA\

Copy-Item : Provider operation stopped because the provider doesn't support
this operation.
At line:1 char:1
+ Copy-Item -Path $path -Destination .\CA\
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotImplemented: (:) [Copy-Item],
                              PSNotSupportedException
    + FullyQualifiedErrorId : NotSupported,
                              Microsoft.PowerShell.Commands.CopyItemCommand

Przenoszenie certyfikatów

Przenoszenie wszystkich certyfikatów uwierzytelniania serwera SSL do magazynu WebHosting

To polecenie używa polecenia cmdlet Move-Item do przeniesienia certyfikatu z magazynu My do magazynu WebHosting.

Move-Item nie można przenieść magazynów certyfikatów i nie może przenieść certyfikatów do innej lokalizacji magazynu, takiej jak przeniesienie certyfikatu z LocalMachine do CurrentUser. Polecenie cmdlet Move-Item może przenosić certyfikaty w magazynie, ale nie przenosi kluczy prywatnych.

To polecenie używa parametru SSLServerAuthentication polecenia cmdlet Get-ChildItem w celu pobrania certyfikatów uwierzytelniania serwera SSL w magazynie certyfikatów My.

Zwrócone certyfikaty są przesyłane potokami do polecenia cmdlet Move-Item, które przenosi certyfikaty do magazynu WebHosting.

Get-ChildItem Cert:\LocalMachine\My -SSLServerAuthentication |
    Move-Item -Destination Cert:\LocalMachine\WebHosting

Usuwanie certyfikatów i kluczy prywatnych

Polecenie cmdlet Remove-Item usuwa określone certyfikaty. Parametr dynamiczny DeleteKey usuwa klucz prywatny.

Usuwanie certyfikatu z magazynu urzędu certyfikacji

To polecenie usuwa certyfikat z magazynu certyfikatów urzędu certyfikacji, ale pozostawia skojarzony klucz prywatny bez zmian.

Na dysku Cert: polecenie cmdlet Remove-Item obsługuje tylko parametry DeleteKey, Path, WhatIfi Potwierdź parametry. Wszystkie inne parametry są ignorowane.

Remove-Item Cert:\LocalMachine\CA\5DDC44652E62BF9AA1116DC41DE44AB47C87BDD0

Usuwanie certyfikatu przy użyciu symboli wieloznacznych w nazwie DNS

To polecenie usuwa wszystkie certyfikaty, które mają nazwę DNS zawierającą Fabrikam. Używa parametru DNSName polecenia cmdlet Get-ChildItem, aby pobrać certyfikaty i polecenie cmdlet Remove-Item, aby je usunąć.

Get-ChildItem -Path Cert:\LocalMachine -DnsName *Fabrikam* | Remove-Item

Usuwanie kluczy prywatnych z komputera zdalnego

Ta seria poleceń umożliwia delegowanie, a następnie usuwa certyfikat i skojarzony klucz prywatny na komputerze zdalnym. Aby usunąć klucz prywatny na komputerze zdalnym, należy użyć poświadczeń delegowanych.

Użyj polecenia cmdlet Enable-WSManCredSSP, aby włączyć uwierzytelnianie dostawcy usług zabezpieczeń poświadczeń (CredSSP) na kliencie na komputerze zdalnym S1. Dostawca CredSSP zezwala na uwierzytelnianie delegowane.

Enable-WSManCredSSP -Role Client -DelegateComputer S1

Użyj polecenia cmdlet Connect-WSMan, aby połączyć komputer S1 z usługą WinRM na komputerze lokalnym. Po zakończeniu tego polecenia komputer S1 pojawi się na lokalnym dysku WSMan: w programie PowerShell.

Connect-WSMan -ComputerName S1 -Credential Domain01\Admin01

Teraz możesz użyć polecenia cmdlet Set-Item na dysku WSMan:, aby włączyć atrybut CredSSP dla usługi WinRM.

Set-Item -Path WSMan:\S1\Service\Auth\CredSSP -Value $true

Uruchom sesję zdalną na komputerze S1 przy użyciu polecenia cmdlet New-PSSession i określ uwierzytelnianie CredSSP. Zapisuje sesję w zmiennej $s.

$s = New-PSSession S1 -Authentication CredSSP -Credential Domain01\Admin01

Na koniec użyj polecenia cmdlet Invoke-Command, aby uruchomić polecenie Remove-Item w sesji w zmiennej $s. Polecenie Remove-Item używa parametru DeleteKey w celu usunięcia klucza prywatnego wraz z określonym certyfikatem.

Invoke-Command -Session $s {
    $removeItemSplat = @{
        Path = 'Cert:\LocalMachine\My\D2D38EBA60CAA1C12055A2E1C83B15AD450110C2'
        DeleteKey = $true
    }
    Remove-Item @removeItemSplat
}

Usuwanie wygasłych certyfikatów

To polecenie używa parametru ExpiringInDays polecenia cmdlet Get-ChildItem z wartością 0 w celu pobrania certyfikatów w magazynie WebHosting, który wygasł.

Zmienna zawierająca zwrócone certyfikaty jest potokowa do polecenia cmdlet Remove-Item, które je usuwa. Polecenie używa parametru DeleteKey, aby usunąć klucz prywatny wraz z certyfikatem.

$expired = Get-ChildItem Cert:\LocalMachine\WebHosting -ExpiringInDays 0
$expired | Remove-Item -DeleteKey

Tworzenie certyfikatów

Polecenie cmdlet New-Item nie tworzy nowych certyfikatów u dostawcy certyfikatów. Użyj polecenia cmdlet New-SelfSignedCertificate, aby utworzyć certyfikat na potrzeby testowania.

Tworzenie magazynów certyfikatów

Na dysku Cert: polecenie cmdlet New-Item tworzy magazyny certyfikatów w lokalizacji magazynu LocalMachine. Obsługuje on nazwa, path, WhatIfi Potwierdzić parametry. Wszystkie inne parametry są ignorowane. Polecenie zwraca System.Security.Cryptography.X509Certificates.X509Store reprezentujące nowy magazyn certyfikatów.

To polecenie tworzy nowy magazyn certyfikatów o nazwie CustomStore w lokalizacji magazynu LocalMachine.

New-Item -Path Cert:\LocalMachine\CustomStore

Tworzenie nowego magazynu certyfikatów na komputerze zdalnym

To polecenie tworzy nowy magazyn certyfikatów o nazwie HostingStore w lokalizacji magazynu LocalMachine na komputerze Server01.

Polecenie używa polecenia cmdlet Invoke-Command do uruchomienia polecenia New-Item na komputerze Server01. Polecenie zwraca System.Security.Cryptography.X509Certificates.X509Store reprezentujące nowy magazyn certyfikatów.

Invoke-Command -ComputerName Server01 -ScriptBlock {
    New-Item -Path Cert:\LocalMachine\CustomStore
}

Tworzenie certyfikatów klienta dla WS-MAN

To polecenie tworzy wpis ClientCertificate, który może być używany przez klienta WS-Management. Nowy ClientCertificate jest wyświetlany w katalogu ClientCertificate jako ClientCertificate_1234567890. Wszystkie parametry są obowiązkowe. Wystawca musi być odciskiem palca certyfikatu wystawcy.

$newItemSplat = @{
    Path = 'WSMan:\localhost\ClientCertificate'
    Credential = Get-Credential
    Issuer = '1b3fd224d66c6413fe20d21e38b304226d192dfe'
    URI = 'wmicimv2/*'
}
New-Item @newItemSplat

Usuwanie magazynów certyfikatów

Usuwanie magazynu certyfikatów z komputera zdalnego

To polecenie używa polecenia cmdlet Invoke-Command do uruchomienia Remove-Item polecenia na komputerach S1 i S2. Polecenie Remove-Item zawiera parametr Recurse, który usuwa certyfikaty w magazynie przed usunięciem magazynu.

Invoke-Command -ComputerName S1, S2 -ScriptBlock {
    Remove-Item -Path Cert:\LocalMachine\TestStore -Recurse
}

Parametry dynamiczne

Parametry dynamiczne to parametry poleceń cmdlet, które są dodawane przez dostawcę programu PowerShell i są dostępne tylko wtedy, gdy polecenie cmdlet jest używane na dysku obsługującym dostawcę. Te parametry są prawidłowe we wszystkich podkatalogach dostawcy certyfikatów, ale są skuteczne tylko w przypadku certyfikatów.

Nuta

Parametry, które wykonują filtrowanie względem właściwości EnhancedKeyUsageList, zwracają również elementy z pustą wartością właściwości EnhancedKeyUsageList. Certyfikaty z pustym EnhancedKeyUsageList mogą być używane we wszystkich celach.

Następujące parametry dostawcy certyfikatów zostały przywrócone w programie PowerShell 7.1.

  • DNSName
  • DocumentEncryptionCert
  • EKU
  • WygasanieInDays
  • SSLServerAuthentication

CodeSigningCert <System.Management.Automation.SwitchParameter>

Obsługiwane polecenia cmdlet

Ten parametr pobiera certyfikaty, które mają Code Signing w EnhancedKeyUsageList wartość właściwości.

DeleteKey <System.Management.Automation.SwitchParameter>

Obsługiwane polecenia cmdlet

  • Remove-Item

Ten parametr usuwa skojarzony klucz prywatny po usunięciu certyfikatu.

Ważny

Aby usunąć klucz prywatny skojarzony z certyfikatem użytkownika w magazynie Cert:\CurrentUser na komputerze zdalnym, należy użyć poświadczeń delegowanych. Polecenie cmdlet Invoke-Command obsługuje delegowanie poświadczeń przy użyciu parametru CredSSP. Przed użyciem Remove-Item z delegowaniem Invoke-Command i poświadczeń należy rozważyć wszelkie zagrożenia bezpieczeństwa.

Ten parametr został przywrócony w programie PowerShell 7.1

DnsName <Microsoft.PowerShell.Commands.DnsNameRepresentation>

Obsługiwane polecenia cmdlet

Ten parametr pobiera certyfikaty z określoną nazwą domeny lub wzorcem nazwy w DNSNameList właściwości certyfikatu. Wartość tego parametru może być Unicode lub ASCII. Wartości punycode są konwertowane na Unicode. Dozwolone są symbole wieloznaczne (*).

Ten parametr został przywrócony w programie PowerShell 7.1

DocumentEncryptionCert <System.Management.Automation.SwitchParameter>

Obsługiwane polecenia cmdlet

Ten parametr pobiera certyfikaty, które mają Document Encryption w EnhancedKeyUsageList wartość właściwości.

<EKU System.String>

Obsługiwane polecenia cmdlet

Ten parametr pobiera certyfikaty, które mają określony wzorzec tekstu lub tekstu w EnhancedKeyUsageList właściwości certyfikatu. Dozwolone są symbole wieloznaczne (*). Właściwość EnhancedKeyUsageList zawiera przyjazną nazwę i pola identyfikatora OID EKU.

Ten parametr został przywrócony w programie PowerShell 7.1

ExpiringInDays <System.Int32>

Obsługiwane polecenia cmdlet

Ten parametr pobiera certyfikaty wygasające lub przed określoną liczbą dni. Wartość zero (0) pobiera certyfikaty, które wygasły.

Ten parametr został przywrócony w programie PowerShell 7.1

< ItemType >System.String

Ten parametr służy do określania typu elementu utworzonego przez New-Item. Polecenie cmdlet New-Item obsługuje tylko wartość Store. New-Item polecenia cmdlet nie można utworzyć nowych certyfikatów.

Obsługiwane polecenia cmdlet

  • nowego elementu

SSLServerAuthentication <System.Management.Automation.SwitchParameter>

Obsługiwane polecenia cmdlet

Pobiera tylko certyfikaty serwera na potrzeby hostingu sieci Web SSL. Ten parametr pobiera certyfikaty, które mają Server Authentication w EnhancedKeyUsageList wartość właściwości.

Ten parametr został przywrócony w programie PowerShell 7.1

Właściwości skryptu

Dodano nowe właściwości skryptu do obiektu X509Certificate 2, który reprezentuje certyfikaty, aby ułatwić wyszukiwanie certyfikatów i zarządzanie nimi.

  • DnsNameList: aby wypełnić właściwość DnsNameList, dostawca certyfikatu kopiuje zawartość z wpisu DNSName w rozszerzeniu SubjectAlternativeName (SAN). Jeśli rozszerzenie SIECI SAN jest puste, właściwość jest wypełniana zawartością z pola Podmiot certyfikatu.
  • EnhancedKeyUsageList: Aby wypełnić właściwość EnhancedKeyUsageList, dostawca certyfikatu kopiuje właściwości identyfikatora OID pola EnhancedKeyUsage (EKU) w certyfikacie i tworzy przyjazną nazwę dla niego.
  • SendAsTrustedIssuer: aby wypełnić właściwość SendAsTrustedIssuer, dostawca certyfikatu kopiuje właściwość SendAsTrustedIssuer z certyfikatu. Aby uzyskać więcej informacji, zobacz Zarządzanie zaufanymi wystawcami na potrzeby uwierzytelniania klienta.

Te nowe funkcje umożliwiają wyszukiwanie certyfikatów na podstawie nazw DNS i dat wygaśnięcia oraz rozróżnianie certyfikatów uwierzytelniania klienta i serwera według wartości właściwości rozszerzonego użycia klucza (EKU).

Korzystanie z potoku

Polecenia cmdlet dostawcy akceptują dane wejściowe potoku. Potok umożliwia uproszczenie zadań przez wysyłanie danych dostawcy z jednego polecenia cmdlet do innego dostawcy. Aby dowiedzieć się więcej na temat używania potoku z poleceniami cmdlet dostawcy, zobacz odwołania do poleceń cmdlet podanych w tym artykule.

Uzyskiwanie pomocy

Począwszy od programu PowerShell 3.0, możesz uzyskać dostosowane tematy pomocy dla poleceń cmdlet dostawcy, które wyjaśniają, jak te polecenia cmdlet zachowują się na dysku systemu plików.

Aby uzyskać tematy pomocy dostosowane dla dysku systemu plików, uruchom polecenie Get-Help na dysku systemu plików lub użyj parametru -PathGet-Help, aby określić dysk systemu plików.

Get-Help Get-ChildItem

Get-Help Get-ChildItem -Path Cert:

Zobacz także

  • Last updated on