Compartilhar via

about_Certificate_Provider

Nome do provedor

Certificado

Drives

Cert:

Capabilities

ShouldProcess

Descrição curta

Fornece acesso a repositórios de certificados X.509 e certificados no PowerShell.

Descrição detalhada

Essas informações se aplicam apenas ao PowerShell em execução no Windows.

O provedor de de Certificado do PowerShell permite que você obtenha, adicione, altere, limpe e exclua certificados e repositórios de certificados no PowerShell.

A unidade de Certificado é um namespace hierárquico que contém os repositórios de certificados e certificados em seu computador.

O provedor de Certificado dá suporte aos cmdlets a seguir.

Tipos expostos por esse provedor

A unidade Certificate expõe os seguintes tipos.

  • Microsoft.PowerShell.Commands.X509StoreLocation, que são contêineres de alto nível que agrupam os certificados para o usuário atual e para todos os usuários. Cada sistema tem um local de repositório CurrentUser e LocalMachine (todos os usuários).
  • System.Security.Cryptography.X509Certificates.X509Store, que são repositórios físicos em que os certificados são salvos e gerenciados.
  • System.Security.Cryptography.X509Certificates.X509Certificate2, cada um representando um certificado X.509 no computador. Os certificados são identificados por suas impressões digitais.

O provedor de de Certificado expõe o namespace do certificado como a unidade de Cert: no PowerShell. Esse comando usa o comando Set-Location para alterar o local atual para o repositório de certificados Root no local do repositório LocalMachine. Use uma barra invertida (\) ou uma barra (/) para indicar um nível da unidade Cert:.

Set-Location Cert:

Você também pode trabalhar com o provedor de certificados de qualquer outra unidade do PowerShell. Para fazer referência a um alias de outro local, use o nome da unidade Cert: no caminho.

PS Cert:\> Set-Location -Path LocalMachine\Root

Para retornar a uma unidade do sistema de arquivos, digite o nome da unidade. Por exemplo, digite:

Set-Location C:

Nota

O PowerShell usa aliases para permitir uma maneira familiar de trabalhar com caminhos de provedor. Comandos como dir e ls agora são aliases para Get-ChildItem, cd é um alias para Set-Location e pwd é um alias para get-location.

Exibindo o conteúdo da unidade Cert:

Esse comando usa o cmdlet Get-ChildItem para exibir os repositórios de certificados no local do repositório de certificados CurrentUser.

Se você não estiver na unidade Cert:, use um caminho absoluto.

PS Cert:\CurrentUser\> Get-ChildItem

Exibindo propriedades de certificado dentro da unidade Cert:

Este exemplo obtém um certificado com Get-Item e o armazena em uma variável. O exemplo mostra as novas propriedades de script de certificado (DnsNameList, EnhancedKeyUsageList, SendAsTrustedIssuer) usando Select-Object.

$c = Get-Item Cert:\LocalMachine\My\52A149D0393CE8A8D4AF0B172ED667A9E3A1F44E
$c | Format-List DnsNameList, EnhancedKeyUsageList, SendAsTrustedIssuer

DnsNameList          : {SERVER01.contoso.com}
EnhancedKeyUsageList : {WiFi-Machine (1.3.6.1.4.1.311.42.2.6),
                       Client Authentication (1.3.6.1.5.5.7.3.2)}
SendAsTrustedIssuer  : False

Localizar todos os certificados codeSigning

Esse comando usa os parâmetros CodeSigningCert e Recurse do cmdlet Get-ChildItem para obter todos os certificados no computador que têm autoridade de assinatura de código.

Get-ChildItem -Path Cert: -CodeSigningCert -Recurse

Localizar certificados expirados

Esse comando usa o parâmetro ExpiringInDays do cmdlet Get-ChildItem para obter certificados que expiram nos próximos 30 dias.

Get-ChildItem -Path Cert:\LocalMachine\WebHosting -ExpiringInDays 30

Localizar certificados SSL do servidor

Esse comando usa o parâmetro SSLServerAuthentication do cmdlet Get-ChildItem para obter todos os Certificados SSL do Servidor nos repositórios My e WebHosting.

$getChildItemSplat = @{
    Path = 'Cert:\LocalMachine\My', 'Cert:\LocalMachine\WebHosting'
    SSLServerAuthentication = $true
}
Get-ChildItem @getChildItemSplat

Localizar certificados expirados em computadores remotos

Esse comando usa o cmdlet Invoke-Command para executar um comando Get-ChildItem nos computadores Srv01 e Srv02. Um valor zero (0) no parâmetro ExpirandoInDays obtém certificados nos computadores Srv01 e Srv02 que expiraram.

$invokeCommandSplat = @{
    ComputerName = 'Srv01', 'Srv02'
    ScriptBlock = {
        Get-ChildItem -Path Cert:\* -Recurse -ExpiringInDays 0
    }
}
Invoke-Command @invokeCommandSplat

Combinando filtros para localizar um conjunto específico de certificados

Esse comando obtém todos os certificados no local do repositório LocalMachine que têm os seguintes atributos:

  • fabrikam em seu nome DNS
  • Client Authentication em sua EKU
  • um valor de $true para a propriedade SendAsTrustedIssuer
  • não expire nos próximos 30 dias.

A propriedade NotAfter armazena a data de validade do certificado.

[datetime] $ValidThrough = (Get-Date) + (New-TimeSpan -Days 30)
$getChildItemSplat = @{
    Path = 'Cert:\*'
    Recurse = $true
    DnsName = "*fabrikam*"
    Eku = "*Client Authentication*"
}
Get-ChildItem @getChildItemSplat |
    Where-Object {
        $_.SendAsTrustedIssuer -and $_.NotAfter -gt $ValidThrough
    }

Abrir o snap-in MMC de certificados

O cmdlet Invoke-Item usa o aplicativo padrão para abrir um caminho especificado. Para certificados, o aplicativo padrão é o snap-in MMC de certificados.

Esse comando abre o snap-in MMC de certificados para gerenciar o certificado especificado.

Invoke-Item Cert:\CurrentUser\my\6B8223358119BB08840DEE50FD8AF9EA776CE66B

Copiando certificados

Não há suporte para a cópia de certificados pelo provedor de de Certificado. Ao tentar copiar um certificado, você verá esse erro.

$path = "Cert:\LocalMachine\Root\E2C0F6662D3C569705B4B31FE2CBF3434094B254"
PS Cert:\LocalMachine\> Copy-Item -Path $path -Destination .\CA\

Copy-Item : Provider operation stopped because the provider doesn't support
this operation.
At line:1 char:1
+ Copy-Item -Path $path -Destination .\CA\
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotImplemented: (:) [Copy-Item],
                              PSNotSupportedException
    + FullyQualifiedErrorId : NotSupported,
                              Microsoft.PowerShell.Commands.CopyItemCommand

Movendo certificados

Mover todos os certificados de autenticação do SSL Server para o repositório WebHosting

Esse comando usa o cmdlet Move-Item para mover um certificado do repositório My para o repositório WebHosting.

Move-Item não pode mover repositórios de certificados e não pode mover certificados para um local de repositório diferente, como mover um certificado de LocalMachine para CurrentUser. O cmdlet Move-Item pode mover certificados dentro de um repositório, mas não move chaves privadas.

Esse comando usa o parâmetro SSLServerAuthentication do cmdlet Get-ChildItem para obter certificados de autenticação de servidor SSL no repositório de certificados My.

Os certificados retornados são canalizados para o cmdlet Move-Item, que move os certificados para o repositório WebHosting.

Get-ChildItem Cert:\LocalMachine\My -SSLServerAuthentication |
    Move-Item -Destination Cert:\LocalMachine\WebHosting

Excluindo certificados e chaves privadas

O cmdlet Remove-Item exclui certificados que você especificar. O parâmetro dinâmico DeleteKey exclui a chave privada.

Excluir um certificado do repositório de AC

Esse comando exclui um certificado do repositório de certificados de autoridade de certificação, mas deixa a chave privada associada intacta.

Na unidade de Cert:, o cmdlet Remove-Item dá suporte apenas aos parâmetros DeleteKey, Path, WhatIfe Confirm. Todos os outros parâmetros são ignorados.

Remove-Item Cert:\LocalMachine\CA\5DDC44652E62BF9AA1116DC41DE44AB47C87BDD0

Excluir um certificado usando um curinga no nome DNS

Esse comando exclui todos os certificados que têm um nome DNS que contém Fabrikam. Ele usa o parâmetro DNSName do cmdlet Get-ChildItem para obter os certificados e o cmdlet Remove-Item para excluí-los.

Get-ChildItem -Path Cert:\LocalMachine -DnsName *Fabrikam* | Remove-Item

Excluir chaves privadas de um computador remoto

Essa série de comandos habilita a delegação e, em seguida, exclui o certificado e a chave privada associada em um computador remoto. Para excluir uma chave privada em um computador remoto, você deve usar credenciais delegadas.

Use o cmdlet Enable-WSManCredSSP para habilitar a autenticação credSSP (Provedor de Serviços de Segurança de Credencial) em um cliente no computador remoto S1. O CredSSP permite a autenticação delegada.

Enable-WSManCredSSP -Role Client -DelegateComputer S1

Use o cmdlet Connect-WSMan para conectar o computador S1 ao serviço WinRM no computador local. Quando esse comando é concluído, o computador S1 aparece na unidade de WSMan: local no PowerShell.

Connect-WSMan -ComputerName S1 -Credential Domain01\Admin01

Agora, você pode usar o cmdlet Set-Item na unidade WSMan: para habilitar o atributo CredSSP para o serviço WinRM.

Set-Item -Path WSMan:\S1\Service\Auth\CredSSP -Value $true

Inicie uma sessão remota no computador S1 usando o cmdlet New-PSSession e especifique a autenticação credSSP. Salva a sessão na variável $s.

$s = New-PSSession S1 -Authentication CredSSP -Credential Domain01\Admin01

Por fim, use o cmdlet Invoke-Command para executar um comando Remove-Item na sessão na variável $s. O comando Remove-Item usa o parâmetro DeleteKey para remover a chave privada junto com o certificado especificado.

Invoke-Command -Session $s {
    $removeItemSplat = @{
        Path = 'Cert:\LocalMachine\My\D2D38EBA60CAA1C12055A2E1C83B15AD450110C2'
        DeleteKey = $true
    }
    Remove-Item @removeItemSplat
}

Excluir certificados expirados

Esse comando usa o parâmetro ExpiringInDays do cmdlet Get-ChildItem com um valor de 0 para obter certificados no repositório WebHosting que expiraram.

A variável que contém os certificados retornados é canalizada para o cmdlet Remove-Item, que os exclui. O comando usa o parâmetro DeleteKey para excluir a chave privada junto com o certificado.

$expired = Get-ChildItem Cert:\LocalMachine\WebHosting -ExpiringInDays 0
$expired | Remove-Item -DeleteKey

Criando certificados

O cmdlet New-Item não cria novos certificados no provedor Certificate. Use o cmdlet New-SelfSignedCertificate para criar um certificado para fins de teste.

Criando repositórios de certificados

Na unidade Cert:, o cmdlet New-Item cria repositórios de certificados no local do repositório LocalMachine. Ele dá suporte aos parâmetros Name, Path, WhatIfe Confirm. Todos os outros parâmetros são ignorados. O comando retorna um System.Security.Cryptography.X509Certificates.X509Store que representa o novo repositório de certificados.

Esse comando cria um novo repositório de certificados chamado CustomStore no local do repositório LocalMachine.

New-Item -Path Cert:\LocalMachine\CustomStore

Criar um novo repositório de certificados em um computador remoto

Esse comando cria um novo repositório de certificados chamado HostingStore no local do repositório LocalMachine no computador Server01.

O comando usa o cmdlet Invoke-Command para executar um comando New-Item no computador Server01. O comando retorna um System.Security.Cryptography.X509Certificates.X509Store que representa o novo repositório de certificados.

Invoke-Command -ComputerName Server01 -ScriptBlock {
    New-Item -Path Cert:\LocalMachine\CustomStore
}

Criando certificados de cliente para WS-MAN

Esse comando cria entrada de ClientCertificate que pode ser usada pelo cliente WS-Management. O novo ClientCertificate aparece no diretório ClientCertificate como ClientCertificate_1234567890. Todos os parâmetros são obrigatórios. O emissor precisa ser a impressão digital do certificado do emissor.

$newItemSplat = @{
    Path = 'WSMan:\localhost\ClientCertificate'
    Credential = Get-Credential
    Issuer = '1b3fd224d66c6413fe20d21e38b304226d192dfe'
    URI = 'wmicimv2/*'
}
New-Item @newItemSplat

Excluindo repositórios de certificados

Excluir um repositório de certificados de um computador remoto

Esse comando usa o cmdlet Invoke-Command para executar um comando Remove-Item nos computadores S1 e S2. O comando Remove-Item inclui o parâmetro Recurse, que exclui os certificados no repositório antes de excluir o repositório.

Invoke-Command -ComputerName S1, S2 -ScriptBlock {
    Remove-Item -Path Cert:\LocalMachine\TestStore -Recurse
}

Parâmetros dinâmicos

Parâmetros dinâmicos são parâmetros de cmdlet que são adicionados por um provedor do PowerShell e estão disponíveis somente quando o cmdlet está sendo usado na unidade habilitada para provedor. Esses parâmetros são válidos em todos os subdiretórios do provedor Certificate, mas são eficazes apenas em certificados.

Nota

Os parâmetros que executam a filtragem na propriedade EnhancedKeyUsageList também retornam itens com um valor de propriedade EnhancedKeyUsageList vazio. Certificados que têm um EnhancedKeyUsageList vazios podem ser usados para todas as finalidades.

Os seguintes parâmetros do provedor de certificados foram reintroduzidos no PowerShell 7.1.

  • DNSName
  • DocumentEncryptionCert
  • de EKU
  • ExpiringInDays
  • SSLServerAuthentication

CodeSigningCert <System.Management.Automation.SwitchParameter>

Cmdlets com suporte

Esse parâmetro obtém certificados que têm Code Signing em seu valor de propriedade EnhancedKeyUsageList.

DeleteKey <> System.Management.Automation.SwitchParameter

Cmdlets com suporte

Esse parâmetro exclui a chave privada associada quando exclui o certificado.

Importante

Para excluir uma chave privada associada a um certificado de usuário no repositório Cert:\CurrentUser em um computador remoto, você deve usar credenciais delegadas. O cmdlet Invoke-Command dá suporte à delegação de credenciais usando o parâmetro credSSP. Você deve considerar quaisquer riscos de segurança antes de usar Remove-Item com Invoke-Command e delegação de credenciais.

Esse parâmetro foi reintroduzido no PowerShell 7.1

DnsName <Microsoft.PowerShell.Commands.DnsNameRepresentation>

Cmdlets com suporte

Esse parâmetro obtém certificados que têm o nome de domínio especificado ou o padrão de nome na propriedade DNSNameList do certificado. O valor desse parâmetro pode ser Unicode ou ASCII. Os valores de Punycode são convertidos em Unicode. Caracteres curinga (*) são permitidos.

Esse parâmetro foi reintroduzido no PowerShell 7.1

DocumentEncryptionCert <System.Management.Automation.SwitchParameter>

Cmdlets com suporte

Esse parâmetro obtém certificados que têm Document Encryption em seu valor de propriedade EnhancedKeyUsageList.

< System.String >de EKU

Cmdlets com suporte

Esse parâmetro obtém certificados que têm o padrão de texto ou texto especificado na propriedade EnhancedKeyUsageList do certificado. Caracteres curinga (*) são permitidos. A propriedade EnhancedKeyUsageList contém o nome amigável e os campos OID da EKU.

Esse parâmetro foi reintroduzido no PowerShell 7.1

< >System.Int32 do ExpiringInDays

Cmdlets com suporte

Esse parâmetro obtém certificados que estão expirando dentro ou antes do número especificado de dias. Um valor zero (0) obtém certificados que expiraram.

Esse parâmetro foi reintroduzido no PowerShell 7.1

< >System.String do ItemType

Esse parâmetro é usado para especificar o tipo de item criado por New-Item. O cmdlet New-Item dá suporte apenas ao valor Store. New-Item cmdlet não pode criar novos certificados.

Cmdlets com suporte

SSLServerAuthentication <System.Management.Automation.SwitchParameter>

Cmdlets com suporte

Obtém apenas certificados de servidor para hospedagem da Web SSL. Esse parâmetro obtém certificados que têm Server Authentication em seu valor de propriedade EnhancedKeyUsageList.

Esse parâmetro foi reintroduzido no PowerShell 7.1

Propriedades de script

Novas propriedades de script foram adicionadas ao objeto X509Certificate2 que representa os certificados para facilitar a pesquisa e o gerenciamento dos certificados.

  • DnsNameList: para preencher a propriedade DnsNameList, o provedor de certificados copia o conteúdo da entrada DNSName na extensão SubjectAlternativeName (SAN). Se a extensão SAN estiver vazia, a propriedade será preenchida com o conteúdo do campo Assunto do certificado.
  • EnhancedKeyUsageList: para preencher a propriedade EnhancedKeyUsageList, o provedor de certificado copia as propriedades OID do campo EKU (EnhancedKeyUsage) no certificado e cria um nome amigável para ele.
  • sendAsTrustedIssuer: para preencher a propriedade SendAsTrustedIssuer, o provedor de certificado copia a propriedade SendAsTrustedIssuer do certificado. Para obter mais informações, consulte Gerenciamento de emissores confiáveis parade autenticação de cliente.

Esses novos recursos permitem que você pesquise certificados com base em seus nomes DNS e datas de validade e distingue certificados de autenticação de cliente e servidor pelo valor de suas propriedades de EKU (Uso Avançado de Chave).

Usando o pipeline

Os cmdlets do provedor aceitam entrada de pipeline. Você pode usar o pipeline para simplificar tarefas enviando dados do provedor de um cmdlet para outro cmdlet do provedor. Para ler mais sobre como usar o pipeline com cmdlets de provedor, consulte as referências de cmdlet fornecidas ao longo deste artigo.

Obtendo ajuda

A partir do PowerShell 3.0, você pode obter tópicos de ajuda personalizados para cmdlets de provedor que explicam como esses cmdlets se comportam em uma unidade do sistema de arquivos.

Para obter os tópicos de ajuda personalizados para a unidade do sistema de arquivos, execute um comando Get-Help em uma unidade do sistema de arquivos ou use o parâmetro -Path de Get-Help para especificar uma unidade do sistema de arquivos.

Get-Help Get-ChildItem

Get-Help Get-ChildItem -Path Cert:

Consulte também

  • Last updated on