Set-AuthenticodeSignature
將 Authenticode 簽章新增至 PowerShell 腳本或其他檔案。
語法
Set-AuthenticodeSignature
[-Certificate] <X509Certificate2>
[-IncludeChain <String>]
[-TimestampServer <String>]
[-HashAlgorithm <String>]
[-Force]
[-FilePath] <String[]>
[-WhatIf]
[-Confirm]
[<CommonParameters>] Set-AuthenticodeSignature
[-Certificate] <X509Certificate2>
[-IncludeChain <String>]
[-TimestampServer <String>]
[-HashAlgorithm <String>]
[-Force]
-LiteralPath <String[]>
[-WhatIf]
[-Confirm]
[<CommonParameters>] Description
Set-AuthenticodeSignature Cmdlet 會將 Authenticode 簽章新增至任何支持主體介面套件 (SIP) 的檔案。
在 PowerShell 腳本檔案中,簽章會採用文字區塊的形式,指出腳本中執行的指令結尾。 如果此 Cmdlet 執行時檔案中有簽章,則會移除該簽章。
範例
範例 1 - 使用來自本機證書存儲的憑證簽署腳本
這些命令會從PowerShell憑證提供者擷取程式代碼簽署憑證,並用它來簽署PowerShell腳本。
$cert=Get-ChildItem -Path Cert:\CurrentUser\My -CodeSigningCert
Set-AuthenticodeSignature -FilePath PsTestInternet2.ps1 -Certificate $cert第一個命令會使用 Get-ChildItem Cmdlet 和 PowerShell 憑證提供者,在證書存儲的 Cert:\CurrentUser\My 子目錄中取得憑證。
Cert: 磁碟驅動器是由憑證提供者公開的磁碟驅動器。
CodeSigningCert 參數,僅受憑證提供者支援,會將擷取的憑證限制為具有程式代碼簽署授權單位的憑證。 命令會將結果儲存在 $cert 變數中。
第二個命令會使用 Set-AuthenticodeSignature Cmdlet 簽署 PSTestInternet2.ps1 腳本。 它會使用 FilePath 參數來指定腳本的名稱和 Certificate 參數,以指定憑證儲存在 $cert 變數中。
範例 2 - 使用 PFX 檔案中的憑證簽署腳本
這些命令會使用 Get-PfxCertificate Cmdlet 來載入程式代碼簽署憑證。
然後,使用它來簽署PowerShell腳本。
$cert = Get-PfxCertificate -FilePath C:\Test\Mysign.pfx
Set-AuthenticodeSignature -FilePath ServerProps.ps1 -Certificate $cert第一個命令會使用 Get-PfxCertificate Cmdlet,將 C:\Test\MySign.pfx 憑證載入 $cert 變數。
第二個命令會使用 Set-AuthenticodeSignature 來簽署腳本。
Set-AuthenticodeSignature 的 FilePath 參數會指定要簽署之腳本檔案的路徑,而 Cert 參數會將包含憑證的 $cert 變數傳遞給 Set-AuthenticodeSignature。
如果憑證檔案受到密碼保護,PowerShell 會提示您輸入密碼。
範例 3 - 新增包含根授權單位的簽章
此命令會新增數字簽名,其中包含信任鏈結中的根授權單位,並由第三方時間戳伺服器簽署。
Set-AuthenticodeSignature -FilePath c:\scripts\Remodel.ps1 -Certificate $cert -IncludeChain All -TimestampServer "http://timestamp.fabrikam.com/scripts/timstamper.dll"此命令會使用 FilePath 參數來指定要簽署的腳本,以及 Certificate 參數,以指定儲存在 $cert 變數中的憑證。 它會使用 IncludeChain 參數,在信任鏈結中包含所有簽章,包括根授權單位。 它也會使用 TimeStampServer 參數,將時間戳新增至簽章。
這可防止腳本在憑證到期時失敗。
參數
-Certificate
指定將用來簽署腳本或檔案的憑證。 輸入變數,此變數會儲存代表憑證的物件或取得憑證的表達式。
若要尋找憑證,請使用 Get-PfxCertificate 或使用憑證 Cert: 磁碟驅動器中的 Get-ChildItem Cmdlet。 如果憑證無效或沒有 code-signing 授權單位,命令就會失敗。
| 類型: | X509Certificate2 |
| Position: | 1 |
| 預設值: | None |
| 必要: | True |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
-Confirm
在執行 Cmdlet 之前,提示您進行確認。
| 類型: | SwitchParameter |
| 別名: | cf |
| Position: | Named |
| 預設值: | False |
| 必要: | False |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
-FilePath
指定正在簽署之檔案的路徑。
| 類型: | String[] |
| Position: | 1 |
| 預設值: | None |
| 必要: | True |
| 接受管線輸入: | True |
| 接受萬用字元: | False |
-Force
允許 Cmdlet 將簽章附加至唯讀檔案。 即使使用 Force 參數,Cmdlet 也無法覆寫安全性限制。
| 類型: | SwitchParameter |
| Position: | Named |
| 預設值: | False |
| 必要: | False |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
-HashAlgorithm
指定 Windows 用來計算檔案數字簽名的哈希演算法。
針對 PowerShell 3.0,預設值為 SHA256,這是 Windows 預設哈希演算法。 針對 PowerShell 2.0,預設值為 SHA1。 在其他系統上可能無法辨識以不同哈希演算法簽署的檔案。 支援的演算法取決於作業系統的版本。
如需可能值的清單,請參閱 HashAlgorithmName 結構。
| 類型: | String |
| Position: | Named |
| 預設值: | SHA256 |
| 必要: | False |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
-IncludeChain
決定數字簽名中包含憑證信任鏈結中的憑證。 NotRoot 是預設值。
有效值為:
- 簽署者:只包含簽署者的憑證。
- NotRoot:包含憑證鏈結中的所有憑證,但根授權單位除外。
- 全部:包含憑證鏈結中的所有憑證。
| 類型: | String |
| Position: | Named |
| 預設值: | NotRoot |
| 必要: | False |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
-LiteralPath
指定正在簽署之檔案的路徑。 與 filePath
| 類型: | String[] |
| 別名: | PSPath |
| Position: | Named |
| 預設值: | None |
| 必要: | True |
| 接受管線輸入: | True |
| 接受萬用字元: | False |
-TimestampServer
使用指定的時間戳伺服器,將時間戳新增至簽章。 輸入時間戳伺服器的 URL 做為字串。
時間戳代表憑證新增至檔案的確切時間。 時間戳可防止腳本在憑證到期時失敗,因為使用者和程式可以驗證憑證在簽署時是否有效。
| 類型: | String |
| Position: | Named |
| 預設值: | None |
| 必要: | False |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
-WhatIf
顯示 Cmdlet 執行時會發生什麼事。 Cmdlet 未執行。
| 類型: | SwitchParameter |
| 別名: | wi |
| Position: | Named |
| 預設值: | False |
| 必要: | False |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
輸入
您可以使用管線將包含檔案路徑的字串傳送至 Set-AuthenticodeSignature。