Zarządzanie certyfikatami SSL za pomocą Powershell DSC

12

Mam certyfikat wydany przez inną firmę, który muszę upewnić się, że działa na wszystkich obiektach docelowych w danej domenie. Czy istnieje sposób, aby upewnić się, że certyfikat został zainstalowany za pomocą DSC?

powershell ssl-certificate dsc omencat
źródło

Odpowiedzi:

10

Obecnie nie ma wbudowanego sposobu na wykonanie tego w DSC. Napisałem niestandardowy zasób dla mojej organizacji, który instaluje certyfikat z PFX. Użyłem Cert:PSDrive, polecenia Import-PfxCertificatecmdlet i bezpiecznych poświadczeń w DSC (dla hasła PFX).

Aktualizacja

To jest teraz dostępne w zasobach Microsoft! xPfxImportZasób jest w xCertificatewersji 1.1 modułu (a później prawdopodobnie).

Pisałem także o tym na własnym blogu .

Jeszcze raz dziękuję za zachętę (szczególnie jscott ).

briantist
źródło
1
Droczysz się! Zaktualizuj swoją odpowiedź, jeśli wyczyścisz kod na tyle, aby udostępnić go publicznie. :) +1
jscott
@jscott prawie rok później, ale staram się, aby kod został dodany do xCertificatemodułu w zasobach DSC Microsoftu, więc mam nadzieję, że wkrótce będzie dostępny jako część zestawu DSC Resource Kit (i teraz będzie dostępny za pośrednictwem Galeria PowerShell). Moja prośba o ściągnięcie czeka tutaj, ale możesz teraz zajrzeć do kodu, jeśli chcesz.
briantist
@ jscott w końcu się połączył dev, nie mam pojęcia, ile czasu zajmie zdobycie tytułu mistrza. Dzięki za nagrodę i wsparcie.
briantist
2

Co powiesz na użycie zasad grupy do wdrożenia certyfikatu w domenie? http://technet.microsoft.com/en-us/library/cc770315%28v=ws.10%29.aspx

Aby wdrożyć certyfikat za pomocą zasad grupy

Open Group Policy Management Console.

Find an existing or create a new GPO to contain the certificate settings. Ensure that the GPO is associated with the domain, site, or organizational unit whose users you want affected by the policy.

Right-click the GPO, and then select Edit.

Group Policy Management Editor opens, and displays the current contents of the policy object.

In the navigation pane, open Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Trusted Publishers.

Click the Action menu, and then click Import.

Follow the instructions in the Certificate Import Wizard to find and import the certificate.

If the certificate is self-signed, and cannot be traced back to a certificate that is in the Trusted Root Certification Authorities certificate store, then you must also copy the certificate to that store. In the navigation pane, click Trusted Root Certification Authorities, and then repeat steps 5 and 6 to install a copy of the certificate to that store.
Mass Nerder
źródło
4
Nie wygląda na to, że jest to certyfikat CA, któremu potrzebuje swoich systemów, aby zaufać, dla czego byłoby to rozwiązanie, które opisujesz. Wygląda na to, że ma faktyczny certyfikat i klucz prywatny, których serwery docelowe będą używać do hostowania usług opartych na SSL. Nie sądzę, że można użyć ustawień GPO zasad klucza publicznego do wdrożenia czegoś takiego.
Ryan Bolger