如何轻松签署 PowerShell 脚本？

Question 1

要进行签名，您可以使用Set-AuthenticodeSignaturecmdlet。当然，这需要证书。如果您有证书颁发机构（不太可能），则可以创建代码签名证书。否则，有各种工具可以创建自签名证书。

您将证书安装在您的证书存储区中（在 Windows 资源管理器中打开.cer或.pfx文件来执行此操作），然后将其传递给Set-AuthenticodeSignature（cert:提供程序/驱动器可以访问您存储中的证书）。

使用

help about_signing

或者在线版本有关详细信息（包括使用 Windows SDK 工具^[1]创建自签名证书）。

^[1]我假设这就是你提到的大下载：你可以只安装你需要的部分，或者使用其他工具（OpenSSL 包括证书生成）。为此，获取 SDK 是一次性活动。

Answer

要进行签名，您可以使用Set-AuthenticodeSignaturecmdlet。当然，这需要证书。如果您有证书颁发机构（不太可能），则可以创建代码签名证书。否则，有各种工具可以创建自签名证书。

您将证书安装在您的证书存储区中（在 Windows 资源管理器中打开.cer或.pfx文件来执行此操作），然后将其传递给Set-AuthenticodeSignature（cert:提供程序/驱动器可以访问您存储中的证书）。

使用

help about_signing

或者在线版本有关详细信息（包括使用 Windows SDK 工具^[1]创建自签名证书）。

^[1]我假设这就是你提到的大下载：你可以只安装你需要的部分，或者使用其他工具（OpenSSL 包括证书生成）。为此，获取 SDK 是一次性活动。

Question 2

我使用这个 PowerShell 脚本：

## sign-script.ps1
## Sign a powershell script with a Thawte certificate and 
## timestamp the signature
##
## usage: ./sign-script.ps1 c:\foo.ps1 

param([string] $file=$(throw “Please specify a script filepath.”)) 

$certFriendlyName = "Thawte Code Signing"
$cert = gci cert:\CurrentUser\My -codesigning | where -Filter 
  {$_.FriendlyName -eq $certFriendlyName}

# https://www.thawte.com/ssl-digital-certificates/technical-  
#   support/code/msauth.html#timestampau
# We thank VeriSign for allowing public use of their timestamping server.
# Add the following to the signcode command line: 
# -t http://timestamp.verisign.com/scripts/timstamp.dll 
$timeStampURL = "http://timestamp.verisign.com/scripts/timstamp.dll"

if($cert) {
    Set-AuthenticodeSignature -filepath $file -cert $cert -IncludeChain All -   
      TimeStampServer $timeStampURL
}
else {
    throw "Did not find certificate with friendly name of `"$certFriendlyName`""
}

Answer

我使用这个 PowerShell 脚本：

## sign-script.ps1
## Sign a powershell script with a Thawte certificate and 
## timestamp the signature
##
## usage: ./sign-script.ps1 c:\foo.ps1 

param([string] $file=$(throw “Please specify a script filepath.”)) 

$certFriendlyName = "Thawte Code Signing"
$cert = gci cert:\CurrentUser\My -codesigning | where -Filter 
  {$_.FriendlyName -eq $certFriendlyName}

# https://www.thawte.com/ssl-digital-certificates/technical-  
#   support/code/msauth.html#timestampau
# We thank VeriSign for allowing public use of their timestamping server.
# Add the following to the signcode command line: 
# -t http://timestamp.verisign.com/scripts/timstamp.dll 
$timeStampURL = "http://timestamp.verisign.com/scripts/timstamp.dll"

if($cert) {
    Set-AuthenticodeSignature -filepath $file -cert $cert -IncludeChain All -   
      TimeStampServer $timeStampURL
}
else {
    throw "Did not find certificate with friendly name of `"$certFriendlyName`""
}

Question 3

获得证书后，我想将其导入到我的用户帐户中。此 regkey 为我提供了一个选项，符号，在上下文菜单中（我使用的是 Windows 7）。如果您要签名的证书存储方式不同，只需更改电源外壳命令。

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Classes\Microsoft.PowerShellScript.1]

[HKEY_CURRENT_USER\Software\Classes\Microsoft.PowerShellScript.1\Shell]

[HKEY_CURRENT_USER\Software\Classes\Microsoft.PowerShellScript.1\Shell\Sign]

[HKEY_CURRENT_USER\Software\Classes\Microsoft.PowerShellScript.1\Shell\Sign\Command]
@="C:\\\Windows\\\System32\\\WindowsPowerShell\\\v1.0\\\powershell.exe -command Set-AuthenticodeSignature '%1' @(Get-ChildItem cert:\\\CurrentUser\\\My -codesigning)[0]"

Answer

获得证书后，我想将其导入到我的用户帐户中。此 regkey 为我提供了一个选项，符号，在上下文菜单中（我使用的是 Windows 7）。如果您要签名的证书存储方式不同，只需更改电源外壳命令。

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Classes\Microsoft.PowerShellScript.1]

[HKEY_CURRENT_USER\Software\Classes\Microsoft.PowerShellScript.1\Shell]

[HKEY_CURRENT_USER\Software\Classes\Microsoft.PowerShellScript.1\Shell\Sign]

[HKEY_CURRENT_USER\Software\Classes\Microsoft.PowerShellScript.1\Shell\Sign\Command]
@="C:\\\Windows\\\System32\\\WindowsPowerShell\\\v1.0\\\powershell.exe -command Set-AuthenticodeSignature '%1' @(Get-ChildItem cert:\\\CurrentUser\\\My -codesigning)[0]"

如何轻松签署 PowerShell 脚本？

答案1

答案2

答案3

相关内容