Powershell 腳本數字簽名實現方法

腳本很容易被冒名頂替或者更改，因為它們是由純文本構成的。數字簽名為腳本提供了更高的安全性，因為它能確定腳本和腳本的編輯者的唯一性，并且不能被更改。作為腳本的發布者，你能確定你的腳本沒有被惡意篡改。即使專家也無能為力，因為這種機制是基于復雜邏輯的。幸運的是，在實際應用中，你不需要深究這些細節，只需要掌握Powershell腳本簽名的機制和過程。

準備一個合適的證書

因為不能使用傳統的紙質簽名給Powershell腳本進行簽名，你需要另一個工具“證書”。證書就像一把私有并且安全的鑰匙。證書是你的個人電子身份特征。這把私密的鑰匙確保只有證書的擁有者使用證書進行腳本簽名。

可以通過mmc添加管理單元查看證書，但是在Powershell中有專門查看證書的支持?？梢酝ㄟ^虛擬驅動器cert：查看本機支持的證書。

創建自簽名證書

創建一個自簽名證書，需要用到microsoft的工具，makecert.exe 。這個工具不能單獨下載，但是它包含在微軟的.NET framework中，如果你的電腦上已經安裝了Visual studio 那就方便多了。

開始->所有程序-Microsoft Visual Studio 2010->Visual Studio Tools->Visual Studio 命令提示(2010)

1. makecert.exe -pe -r -n "cn=MosserPowerShellTestCert" -eku 1.3.6.1.5.5.7.3.3 -ss "my"
2. Succeeded

這里要稍微注意 -eku 參數：1.3.6.1.5.5.7.3.3，不能是其它，否則證書的預期目的屬性就不是代碼簽名了。
上面創建的證書會自動保存在CurrentUserMy 路徑下面?？梢栽赑owershell中查看：

1. PS E:> ls cert:CurrentUserMy | where {$_.subject -eq "CN=MosserPowerShellTestCert"}
2.  
3. 目錄: Microsoft.PowerShell.SecurityCertificate::CurrentUserMy
4.  
5. Thumbprint Subject
6. ---------- -------
7. BA61AF0B8A856422AD9EF86104C8CEDB2583A21A CN=MosserPowerShellTestCert

驗證代碼簽名證書

查看支持代碼簽名的證書
查看證書的簽發者，代表，序列號，指紋。

1. ## 查看預期目的為代碼簽名的證書:
2. $certs = @(Dir cert:CurrentUserMy -codeSigningCert)
3. "找到 {0} 個代碼簽名證書" -f $certs.count
4. # 找到 1 個代碼簽名證書
5.  
6. ## 選擇 剛才創建的證書
7. $certificate=ls cert:CurrentUserMy | where {$_.subject -eq "CN=MosserPowerShellTestCert"}
8.  
9. ## 證書的代表
10. $certificate.subject
11. # CN=MosserPowerShellTestCert
12.  
13. ## 證書的簽發者
14. $certificate.issuer
15. # CN=MosserPowerShellTestCert
16.  
17. ## 證書的序列號，指紋
18. $certificate | select SerialNumber,Thumbprint | fl *
19. # SerialNumber : C23F35EA85D9A5AB466C07A7C0469A78
20. # Thumbprint : 586A4332F0528867DA6A0900FCF0938EDD277E22

聲明一個證書受信任

你會發現，在你指定證書的類型，頒發者的名稱等信息后，證書的原始數據（RawData）會自動生成。這樣你不能假冒別人生成一個證書，別人也不能假冒你的名字生成一個證書。如果通過Powershell查看之前生成的證書是否受信任，答案為否。

1. PS E:> $certificate.Verify()
2. False

為什么我們剛才生成的證書不受信任呢？我們可以通過一個簡單的步驟找到答案。在.NET 中有一個方法：DisplayCertificate()可以通過對話框顯示證書，位于System.Security.dll中。這個dll默認沒有引用，需要添加引用，之后顯示證書對話框。

1. PS E:> [System.Reflection.Assembly]::LoadWithPartialName("System.Security")
2.  
3. GAC Version Location
4. --- ------- --------
5. True v2.0.50727C:windowsassemblyGAC_MSILSystem.Security2.0.0.0__b03f5f7f11d50a3aSys...
6.  
7. [System.Security.Cryptography.x509Certificates.X509Certificate2UI]::DisplayCertificate($certificate)

Powershell 查看證書 不受信任

對話框提示：此CA根證書不受信任，要啟用信任，請將該證書安裝到”受信任的根證書頒發機構“存儲區。

所以接下來可以將該證書復制到受信任的存儲區?？梢酝ㄟ^certmgr.msc 手動操作，也可以通過Powershell自動化操作。

1. PS E:> $rootStore= New-Objectsystem.security.cryptography.X509Certificates.x509Store("root","Curre
2. ntuser")
3. $rootStore.Open("ReadWrite")
4. $rootStore.Add($certificate)
5. $rootStore.Close()

在執行Add操作時，會有一個確認的對話框，確定即可。

接下來我們查看一下驗證信息。

1. PS E:> $certificate.Verify()
2. True

給Powershell 腳本簽名

給Powershell腳本進行數字簽名只需要兩步：找的一個受信任的代碼簽名證書，剩下的工作請交給：Set-AuthenticodeSignature吧。

1. PS E:> 'Write-Host "我的第一個簽名腳本"' > firstSignScript.ps1
2. PS E:> $certificate=ls cert:CurrentUserMy | where {$_.subject -eq "CN=MosserPowerShellTestCert"}
3. PS E:> Set-AuthenticodeSignature .firstSignScript.ps1 $certificate
4.  
5. 目錄: E:
6.  
7. SignerCertificate Status Path
8. ----------------- ------ ----
9. 586A4332F0528867DA6A0900FCF0938EDD277E22 Valid firstSignScript.ps1
10.  
11. PS E:> Get-Content .firstSignScript.ps1
12. Write-Host "我的第一個簽名腳本"
13.  
14. # SIG # Begin signature block
15. # MIIEIQYJKoZIhvcNAQcCoIIEEjCCBA4CAQExCzAJBgUrDgMCGgUAMGkGCisGAQQB
16. # gjcCAQSgWzBZMDQGCisGAQQBgjcCAR4wJgIDAQAABBAfzDtgWUsITrck0sYpfvNR
17. # AgEAAgEAAgEAAgEAAgEAMCEwCQYFKw4DAhoFAAQUnxRdr+yE6sFotfvZjfn8k15W
18. # OtigggI0MIICMDCCAZ2gAwIBAgIQwj816oXZpatGbAenwEaaeDAJBgUrDgMCHQUA
19. # MCMxITAfBgNVBAMTGE1vc3NlclBvd2VyU2hlbGxUZXN0Q2VydDAeFw0xMjA2MTYx
20. # MzAyMjZaFw0zOTEyMzEyMzU5NTlaMCMxITAfBgNVBAMTGE1vc3NlclBvd2VyU2hl
21. # bGxUZXN0Q2VydDCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAr/2eZ6iS3Zi4
22. # Q2RsXFPRmDynztxPwArZ6SK663R6X2Dfqwv+kuev4VbEHJ20Bvd9yLvCS4QgCCR6
23. # n0D+ELfBy6aRpst51dNKNGV74TZIBu1M5EKG2+didLrKTx3lwEC66Bl+QyFiOzcH
24. # ZhQcaZzgdx8m8EN10/B2cDg9Tm9ppQsCAwEAAaNtMGswEwYDVR0lBAwwCgYIKwYB
25. # BQUHAwMwVAYDVR0BBE0wS4AQjHzaaSg4KlNdyvIpJNjeiqElMCMxITAfBgNVBAMT
26. # GE1vc3NlclBvd2VyU2hlbGxUZXN0Q2VydIIQwj816oXZpatGbAenwEaaeDAJBgUr
27. # DgMCHQUAA4GBAFA3lvWcbA8mWndKdIOCzQUbC9/+1vIeQRGaH7L6U6OHZuV2IBw1
28. # EpLxz1/dyFEMNZmy9z+/YjfJi774UY1eTzOJnz0AYKGPpM0BK2ieGZzPDIlbkpv1
29. # ywrv5BtRt053MNHRYaZQP0v9Sp6pOB4h10tKnvh0DW882zRPeB4hkK+fMYIBVzCC
30. # AVMCAQEwNzAjMSEwHwYDVQQDExhNb3NzZXJQb3dlclNoZWxsVGVzdENlcnQCEMI/
31. # NeqF2aWrRmwHp8BGmngwCQYFKw4DAhoFAKB4MBgGCisGAQQBgjcCAQwxCjAIoAKA
32. # AKECgAAwGQYJKoZIhvcNAQkDMQwGCisGAQQBgjcCAQQwHAYKKwYBBAGCNwIBCzEO
33. # MAwGCisGAQQBgjcCARUwIwYJKoZIhvcNAQkEMRYEFMgyEZ64UFors3z9JGuKLVxh
34. # P2hLMA0GCSqGSIb3DQEBAQUABIGAMHFJHMVlauxKGIo2p9ieFBVp4Am6n533k89j
35. # 7pQXKOGmU/sG9d8PILifHLJZw7BU66+uZFvOSXlUxvqaPRAdeosc2BLDPf5Cu6o7
36. # 61BfSJc2H5dQCgbK/90OKmeJp4KJQRCk7HLEBvV23ddVSyl4CPplbUcTVmo92Zd1
37. # B/Moxro=
38. # SIG # End signature block

遞歸給所有腳本文件簽名

給當前文件下的所有腳本簽名

1. PS E:> Set-AuthenticodeSignature (ls *.ps1) $certificate
2.  
3. 目錄: E:
4.  
5. SignerCertificate Status Path
6. ----------------- ------ ----
7. 586A4332F0528867DA6A0900FCF0938EDD277E22 Valid firstSignScript.ps1
8. 586A4332F0528867DA6A0900FCF0938EDD277E22 Valid MyScript.ps1
9. 586A4332F0528867DA6A0900FCF0938EDD277E22 Valid pipeline.ps1
10. 586A4332F0528867DA6A0900FCF0938EDD277E22 Valid PSLib.ps1

如果你喜歡你甚至可以遞歸使用

1. Set-AuthenticodeSignature (Dir -recurse -include *.ps1) $certificate

使用對話框選擇證書

如果機器上安裝了代碼簽名的證書有許多，你可以通過friendName 或者證書的名稱，證書的指紋,過濾一個證書供腳本簽名。

1. Dir cert:CurrentUserMy |
2. where {$_.subject -eq "CN=MosserPowerShellTestCert"}

另一種方法是通過.NET中的內置的對話框進行選擇。將查詢到的證書傳遞給SelectFromCollection()方法，在在作此操作之前必須將證書放在一個特殊的集合中。

1. # 對話框文本:
2. $title = "可用的證書"
3. $text = "請選擇用于代碼簽名的證書："
4. # Find certificates:
5. $certificates = Dir cert: -recurse -codeSigningCert
6. # 加載 System.Security 類庫
7. # 將證書存放在特殊的集合（X509Certificate2Collection）中:
8. [Reflection.Assembly]::LoadWithPartialName("System.Security")
9. $collection = New-ObjectSystem.Security.Cryptography.X509Certificates.X509Certificate2Collection
10. $certificates | ForEach-Object { $collection.Add($_) }
11. # 顯示選項:
12. $certificate =[System.Security.Cryptography.x509Certificates.X509Certificate2UI]::`
13. SelectFromCollection($collection, $title, $text, 0)
14. # 使用選擇的證書進行數字簽名
15. Set-AuthenticodeSignature -Certificate $certificate[0] -FilePath .firstSignScript.ps1

Powershel l對話框選擇 證書

Powershell腳本簽名驗證

在腳本中簽名到底能帶來什么好處，那就是可以進行驗證?？梢允謩域炞C，也可以自動驗證。簽名驗證會告訴你腳本是否信任，或者是否包含了惡意篡改。

用戶自行驗證：手動驗證，可以檢查一個腳本是否包含簽名代碼，簽名者是誰？該簽名者是否受信任。
自動驗證：如果你將Powershell的腳本執行策略設置為AllSigned. Powershell會在你嘗試運行腳本時自動驗證，代碼和腳本簽名是否一致。并且會詢問簽名者是否受信任。

手動驗證

Get-AuthenticodeSignature命令可以驗證簽名。例如創建一個腳本，不進行簽名，通過該命令進行驗證。屬性StatusMessage會告訴你簽名驗證的結果。

1. "'未簽名'" >notsign.ps1
2. $checkResult=Get-AuthenticodeSignature .notsign.ps1
3. $checkResult.Status
4. NotSigned
5. $checkResult.StatusMessage
6. 文件 E:notsign.ps1 未經數字簽名。系統將不執行該腳本。有關詳細信息，請參閱 "get-help about_signing"
7. 。
8. $checkResult.Status.GetType().fullName
9. System.Management.Automation.SignatureStatus

如果運行該未簽名的腳本，也會收到錯誤提示信息，也就是StatusMessage中包含的信息。腳本的驗證結果狀態包括：

自動驗證

你不須要去驗證腳本的簽名，當你運行一個腳本時，Powershell會自動驗證。即使驗證過的腳本，如果有部分內容更新，自動驗證也會給出警告。
在用戶將腳本執行策略設置為AllSigned和RemoteSigned時，自動驗證就會激活，如果將執行策略設置為AllSigned，所有的腳本都會驗證。如果你選擇RemoteSigned，從網絡上下載的腳本執行會提示需要簽名。

1. # 設置 ExecutionPolicy 為 AllSigned. 所有
2. # 腳本必須有正確的簽名:
3. Set-ExecutionPolicy AllSigned
4. # 創建一個沒有簽名的腳本.
5. # 該腳本不會執行:
6. 無法加載文件 E:unSigned.ps1。文件 E:unSigned.ps1 未經數字簽名。系統將不執行該腳本。有關詳細信息，
7. 請參閱 "get-help about_signing"。。
8. 所在位置 行:1 字符: 15
9. + .unSigned.ps1 < <<<
10. + CategoryInfo : NotSpecified: (:) [], PSSecurityException
11. + FullyQualifiedErrorId : RuntimeException
12.  
13. 即使簽名可以通過驗證，也需要用戶的批準，才能執行。
14. .firstSignScript.ps1
15.  
16. 是否要運行來自此不可信發布者的軟件?
17. 文件 E:firstSignScript.ps1 由 CN=MosserPowerShellTestCert
18. 發布，該文件對于您的系統是不可信的。請只運行來自可信發布者的腳本。
19. [V] 從不運行(V) [D] 不運行(D) [R] 運行一次(R) [A] 始終運行(A) [?] 幫助 (默認值為“D”): a
20. 我的第一個簽名腳本
21.  
22. #第二次執行，不會詢問
23. 我的第一個簽名腳本

Windows PowerShell顯示執行的腳本未進行數字簽名。

設置一下可以運行未簽名的腳本或者為你的腳本簽名。

set-executionpolicy Bypass

到這里文章就結束了，需要的朋友可以參考一下。