Управление сертификатами SSL с помощью Powershell DSC

12

У меня есть сторонний выданный сертификат, который мне нужно убедиться, что он работает на всех целях в данном домене. Есть ли способ убедиться, что этот сертификат установлен с помощью DSC?

powershell ssl-certificate dsc omencat
источник

Ответы:

10

В настоящее время в DSC нет встроенного способа сделать это. Я написал собственный ресурс для своей организации, который устанавливает сертификат из PFX. Я использовал Cert:PSDrive, Import-PfxCertificateкомандлет и защищенные учетные данные в DSC (для пароля PFX).

Обновить

Это теперь жить на ресурсах Microsoft! xPfxImportРесурс в xCertificateмодуле v1.1 (и позже , предположительно).

Также написал об этом в своем блоге .

Еще раз спасибо за поддержку (особенно Jscott ).

briantist
источник
1
Вы дразните! Пожалуйста, обновите свой ответ, если вы очистите свой код достаточно, чтобы поделиться им публично. :) +1
Jscott
@jscott почти год спустя, но я пытаюсь добавить код к xCertificateмодулю в ресурсах Microsoft DSC, так что, надеюсь, он скоро будет доступен как часть того, что когда-то было DSC Resource Kit (и теперь будет доступно через Галерея PowerShell). Мой запрос на получение ожидает здесь, но вы можете взглянуть на код сейчас, если хотите.
Бриантист
@jscott наконец-то слился dev, понятия не имею, сколько времени потребуется, чтобы стать мастером. Спасибо за щедрость и вашу поддержку.
Бриантист
2

Как насчет использования групповой политики для развертывания сертификата в домене? http://technet.microsoft.com/en-us/library/cc770315%28v=ws.10%29.aspx

Развертывание сертификата с помощью групповой политики

Open Group Policy Management Console.

Find an existing or create a new GPO to contain the certificate settings. Ensure that the GPO is associated with the domain, site, or organizational unit whose users you want affected by the policy.

Right-click the GPO, and then select Edit.

Group Policy Management Editor opens, and displays the current contents of the policy object.

In the navigation pane, open Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Trusted Publishers.

Click the Action menu, and then click Import.

Follow the instructions in the Certificate Import Wizard to find and import the certificate.

If the certificate is self-signed, and cannot be traced back to a certificate that is in the Trusted Root Certification Authorities certificate store, then you must also copy the certificate to that store. In the navigation pane, click Trusted Root Certification Authorities, and then repeat steps 5 and 6 to install a copy of the certificate to that store.
Mass Nerder
источник
4
Не похоже, что это сертификат CA, что ему нужны его системы, чтобы доверять, и именно это решение вы бы описали. Похоже, у него есть действующий сертификат и закрытый ключ, которые целевые серверы будут использовать для размещения сервисов на основе SSL. Я не верю, что вы можете использовать параметры GPO Public Key Policies для развертывания чего-то подобного.
Райан Болджер