Gestione dei certificati SSL con Powershell DSC

12

Ho un certificato rilasciato da terze parti che devo accertarmi sia in esecuzione su tutte le destinazioni in un determinato dominio. Esiste un modo per garantire che questo certificato sia installato tramite DSC?

powershell  ssl-certificate  dsc 
omencat
fonte

Risposte:

10

Al momento non esiste un modo integrato per farlo in DSC. Ho scritto una risorsa personalizzata per la mia organizzazione che installa un certificato da un PFX. Ho usato Cert:PSDrive, Import-PfxCertificatecmdlet e credenziali protette in DSC (per la password PFX).

Aggiornare

Questo è ora attivo nelle risorse di Microsoft! La xPfxImportrisorsa si trova nel xCertificatemodulo v1.1 (e in seguito presumibilmente).

Ne ho anche scritto sul mio blog .

Grazie ancora per l'incoraggiamento (in particolare jscott ).

briantist
fonte
1
Tu provochi! Ti preghiamo di aggiornare la tua risposta se ripulisci il tuo codice abbastanza da condividerlo pubblicamente. :) +1
jscott,
@jscott quasi un anno dopo, ma sto cercando di aggiungere il codice al xCertificatemodulo nelle risorse DSC di Microsoft, quindi spero che presto sarà disponibile come parte di quello che un tempo era il DSC Resource Kit (e ora sarebbe disponibile tramite il Galleria di PowerShell). La mia richiesta pull è in attesa qui, ma puoi dare un'occhiata al codice ora, se lo desideri.
briantist,
Alla fine @jscott si è unito dev, non ho idea di quanto tempo ci vorrà per diventare padrone. Grazie per la generosità e il vostro supporto.
Briantist,
2

Che ne dici di usare i criteri di gruppo per distribuire il certificato nel dominio? http://technet.microsoft.com/en-us/library/cc770315%28v=ws.10%29.aspx

Per distribuire un certificato utilizzando Criteri di gruppo

Open Group Policy Management Console.

Find an existing or create a new GPO to contain the certificate settings. Ensure that the GPO is associated with the domain, site, or organizational unit whose users you want affected by the policy.

Right-click the GPO, and then select Edit.

Group Policy Management Editor opens, and displays the current contents of the policy object.

In the navigation pane, open Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Trusted Publishers.

Click the Action menu, and then click Import.

Follow the instructions in the Certificate Import Wizard to find and import the certificate.

If the certificate is self-signed, and cannot be traced back to a certificate that is in the Trusted Root Certification Authorities certificate store, then you must also copy the certificate to that store. In the navigation pane, click Trusted Root Certification Authorities, and then repeat steps 5 and 6 to install a copy of the certificate to that store.
Massa Nerder
fonte
4
Non sembra che questo sia un certificato CA di cui i suoi sistemi devono fidarsi, qual è la soluzione che descriveresti. Sembra più che abbia un certificato e una chiave privata effettivi che i server di destinazione utilizzeranno per ospitare servizi basati su SSL. Non credo che tu possa usare le impostazioni dell'oggetto Criteri di gruppo Criteri chiave pubblica per distribuire qualcosa del genere.
Ryan Bolger,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.