Set-AuthenticodeSignature
Добавляет подпись Authenticode в скрипт PowerShell или другой файл.
Синтаксис
Set-AuthenticodeSignature
[-Certificate] <X509Certificate2>
[-IncludeChain <String>]
[-TimestampServer <String>]
[-HashAlgorithm <String>]
[-Force]
[-FilePath] <String[]>
[-WhatIf]
[-Confirm]
[<CommonParameters>] Set-AuthenticodeSignature
[-Certificate] <X509Certificate2>
[-IncludeChain <String>]
[-TimestampServer <String>]
[-HashAlgorithm <String>]
[-Force]
-LiteralPath <String[]>
[-WhatIf]
[-Confirm]
[<CommonParameters>] Описание
Командлет Set-AuthenticodeSignature добавляет подпись Authenticode в любой файл, поддерживающий пакет интерфейса субъекта (SIP).
В файле скрипта PowerShell подпись имеет вид блока текста, который указывает конец инструкций, выполняемых в скрипте. Если при запуске командлета подпись в файле уже есть, эта подпись удаляется.
Примеры
Пример 1. Подпись скрипта с помощью сертификата из локального хранилища сертификатов
Эти команды извлекают сертификат подписи кода от поставщика сертификатов PowerShell и используют его для подписывания скрипта PowerShell.
$cert=Get-ChildItem -Path Cert:\CurrentUser\My -CodeSigningCert
Set-AuthenticodeSignature -FilePath PsTestInternet2.ps1 -Certificate $certПервая команда использует Get-ChildItem командлет и поставщик сертификатов PowerShell для получения сертификатов в Cert:\CurrentUser\My подкаталоге хранилища сертификатов. Диск Cert: — это диск, предоставляемый поставщиком сертификатов. Параметр CodeSigningCert , поддерживаемый только поставщиком сертификатов, ограничивает полученные сертификаты только сертификатами с центром подписи кода. Команда сохраняет результат в переменной $cert .
Вторая команда использует Set-AuthenticodeSignature командлет для подписи скрипта PSTestInternet2.ps1 . Он использует параметр FilePath для указания имени скрипта и параметр Certificate , чтобы указать, что сертификат хранится в переменной $cert .
Пример 2. Подпись скрипта с помощью сертификата из PFX-файла
Эти команды используют командлет для Get-PfxCertificate загрузки сертификата подписи кода.
Затем используйте его для подписывания скрипта PowerShell.
$cert = Get-PfxCertificate -FilePath C:\Test\Mysign.pfx
Set-AuthenticodeSignature -FilePath ServerProps.ps1 -Certificate $certПервая команда использует Get-PfxCertificate командлет для загрузки сертификата C:\Test\MySign.pfx в переменную $cert .
Вторая команда использует Set-AuthenticodeSignature для подписи скрипта. Параметр FilePath указывает путь к файлу скрипта Set-AuthenticodeSignature , который подписывается, а параметр Cert передает $cert переменную, содержащую сертификат, в Set-AuthenticodeSignature.
Если файл сертификата защищен паролем, PowerShell предложит ввести пароль.
Пример 3. Добавление подписи, включающей корневой центр
Эта команда добавляет цифровую подпись, включающую корневой центр в цепочке доверия, и подпись стороннего сервера отметок времени.
Set-AuthenticodeSignature -FilePath c:\scripts\Remodel.ps1 -Certificate $cert -IncludeChain All -TimestampServer "http://timestamp.fabrikam.com/scripts/timstamper.dll"Команда использует параметр FilePath для указания подписываемого скрипта и параметр Certificate для указания сертификата, сохраненного в переменной $cert . Он использует параметр IncludeChain для включения всех сигнатур в цепочку доверия, включая корневой центр. Он также использует параметр TimeStampServer для добавления метки времени к подписи.
Это защищает скрипт от сбоя, если срок действия сертификата истек.
Параметры
-Certificate
Задает сертификат, который будет использоваться для подписания скрипта или файла. Введите переменную, в которой хранится объект, представляющий сертификат, или выражение, которое получает сертификат.
Чтобы найти сертификат, используйте Get-PfxCertificate или используйте Get-ChildItem командлет на диске сертификатов Cert: . Если сертификат недействителен или не имеет code-signing полномочий, команда завершается ошибкой.
| Type: | X509Certificate2 |
| Position: | 1 |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Confirm
Запрос подтверждения перед выполнением командлета.
| Type: | SwitchParameter |
| Aliases: | cf |
| Position: | Named |
| Default value: | False |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-FilePath
Указывает путь к подписываемому файлу.
| Type: | String[] |
| Position: | 1 |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-Force
Позволяет командлету добавлять подпись в файл, доступный только для чтения. Даже с помощью параметра Force командлет не может переопределить ограничения безопасности.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | False |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-HashAlgorithm
Задает алгоритм хэширования, который использует Windows для расчета цифровой подписи для файла.
Для PowerShell 3.0 по умолчанию используется SHA256, который является алгоритмом хэширования Windows по умолчанию. Для PowerShell 2.0 по умолчанию используется SHA1. Файлы, подписанные с использованием другого алгоритма хэширования, могут не распознаваться в других системах. Поддерживаемые алгоритмы зависят от версии операционной системы.
Список возможных значений см. в разделе HashAlgorithmName Struct.
| Type: | String |
| Position: | Named |
| Default value: | SHA256 |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-IncludeChain
Определяет, какие сертификаты в цепочке доверия сертификатов включаются в цифровую подпись. По умолчанию используется NotRoot.
Допустимые значения:
- Подписыватель: включает только сертификат подписывателя.
- NotRoot: включает все сертификаты в цепочке сертификатов, за исключением корневого центра.
- Все. Включает все сертификаты в цепочке сертификатов.
| Type: | String |
| Position: | Named |
| Default value: | NotRoot |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-LiteralPath
Указывает путь к подписываемому файлу. В отличие от FilePath значение параметра LiteralPath используется именно в том виде, в котором оно вводится. Никакие символы не интерпретируются как знаки подстановки. Если путь содержит escape-символы, заключите его в одинарные кавычки. Одинарные кавычки предписывают PowerShell не интерпретировать какие-либо символы как escape-последовательности.
| Type: | String[] |
| Aliases: | PSPath |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-TimestampServer
Добавляет к подписи отметку времени, использует заданный сервер отметок времени. Введите URL-адрес сервера отметок времени в виде строки.
Отметка времени представляет собой значение точного времени, когда сертификат был добавлен в файл. Отметка времени защищает скрипт от сбоев в случае истечения срока действия сертификата, поскольку пользователи и программы могут проверить, что сертификат действовал в момент подписания.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-WhatIf
Показывает, что произойдет при запуске командлета. Командлет не выполняется.
| Type: | SwitchParameter |
| Aliases: | wi |
| Position: | Named |
| Default value: | False |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
Входные данные
Можно передать строку, содержащую путь к файлу, в Set-AuthenticodeSignature.