SSL-Zertifikatverwaltung mit Powershell DSC

12

Ich habe ein von einem Drittanbieter ausgestelltes Zertifikat, mit dem ich sicherstellen möchte, dass es auf allen Zielen in einer bestimmten Domäne ausgeführt wird. Gibt es eine Möglichkeit, sicherzustellen, dass dieses Zertifikat über DSC installiert wird?

powershell ssl-certificate dsc Omencat
quelle

Antworten:

10

Derzeit gibt es in DSC keine integrierte Möglichkeit, dies zu tun. Ich habe eine benutzerdefinierte Ressource für meine Organisation geschrieben, die ein Zertifikat von einer PFX installiert. Ich habe das Cert:PSDrive, das Import-PfxCertificateCmdlet und die gesicherten Anmeldeinformationen in DSC (für das PFX-Kennwort) verwendet.

Aktualisieren

Dies ist jetzt in den Ressourcen von Microsoft verfügbar! Die xPfxImportRessource befindet sich im xCertificateModul v1.1 (und vermutlich später).

Hab auch in meinem eigenen Blog darüber geschrieben .

Nochmals vielen Dank für die Ermutigung (vor allem jscott ).

Briantist
quelle
1
Sie necken! Bitte aktualisieren Sie Ihre Antwort, wenn Sie Ihren Code so weit bereinigen, dass er öffentlich zugänglich ist. :) +1
jscott
@jscott fast ein Jahr später, aber ich versuche, den Code dem xCertificateModul in den DSC-Ressourcen von Microsoft hinzuzufügen. Hoffentlich wird er bald als Teil des früheren DSC Resource Kit verfügbar sein (und jetzt über das verfügbar sein) PowerShell-Galerie). Meine Pull-Anfrage wartet hier, aber Sie können sich jetzt den Code ansehen, wenn Sie möchten.
Briantist
@jscott verschmolz schließlich mit dev, keine Ahnung, wie lange es dauern wird, bis Master wird. Vielen Dank für das Kopfgeld und Ihre Unterstützung.
Briantist
2

Wie wäre es mit einer Gruppenrichtlinie, um das Zertifikat in der Domäne bereitzustellen? http://technet.microsoft.com/en-us/library/cc770315%28v=ws.10%29.aspx

So stellen Sie ein Zertifikat mithilfe von Gruppenrichtlinien bereit

Open Group Policy Management Console.

Find an existing or create a new GPO to contain the certificate settings. Ensure that the GPO is associated with the domain, site, or organizational unit whose users you want affected by the policy.

Right-click the GPO, and then select Edit.

Group Policy Management Editor opens, and displays the current contents of the policy object.

In the navigation pane, open Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Trusted Publishers.

Click the Action menu, and then click Import.

Follow the instructions in the Certificate Import Wizard to find and import the certificate.

If the certificate is self-signed, and cannot be traced back to a certificate that is in the Trusted Root Certification Authorities certificate store, then you must also copy the certificate to that store. In the navigation pane, click Trusted Root Certification Authorities, and then repeat steps 5 and 6 to install a copy of the certificate to that store.
Masse Nerder
quelle
4
Es hört sich nicht so an, als wäre dies ein CA-Zertifikat, dem seine Systeme vertrauen müssen. Genau dafür würden Sie die Lösung beschreiben. Es klingt eher so, als hätte er ein tatsächliches Zertifikat und einen privaten Schlüssel, die die Zielserver zum Hosten von SSL-basierten Diensten verwenden. Ich glaube nicht, dass Sie die GPO-Einstellungen für Richtlinien für öffentliche Schlüssel verwenden können, um so etwas bereitzustellen.
Ryan Bolger