Gestion des certificats SSL avec Powershell DSC

12

J'ai un certificat émis par un tiers dont je dois m'assurer qu'il fonctionne sur toutes les cibles d'un domaine donné. Existe-t-il un moyen de s'assurer que ce certificat est installé via DSC?

omencat
la source

Réponses:

10

Il n'existe actuellement aucun moyen intégré de le faire dans DSC. J'ai écrit une ressource personnalisée pour mon organisation qui installe un certificat à partir d'un PFX. J'ai utilisé Cert:PSDrive, la Import-PfxCertificatecmdlet et les informations d'identification sécurisées dans DSC (pour le mot de passe PFX).

Mise à jour

C'est maintenant en direct dans les ressources de Microsoft! La xPfxImportressource se trouve dans le xCertificatemodule v1.1 (et plus tard probablement).

A également écrit à ce sujet sur mon propre blog .

Merci encore pour les encouragements (surtout jscott ).

briantiste
la source
1
Vous taquinez! Veuillez mettre à jour votre réponse si vous nettoyez suffisamment votre code pour le partager publiquement. :) +1
jscott
@jscott presque un an plus tard, mais j'essaie d'obtenir le code ajouté au xCertificatemodule dans les ressources DSC de Microsoft, donc j'espère qu'il sera bientôt disponible dans le cadre de ce qui était autrefois le Kit de ressources DSC (et serait désormais disponible via le Galerie PowerShell). Ma demande de tirage est en attente ici, mais vous pouvez consulter le code maintenant si vous le souhaitez.
briantist du
@jscott a finalement fusionné dev, aucune idée du temps qu'il faudra pour accéder au master. Merci pour la générosité et votre soutien.
briantist
2

Que diriez-vous d'utiliser la stratégie de groupe pour déployer le certificat sur le domaine? http://technet.microsoft.com/en-us/library/cc770315%28v=ws.10%29.aspx

Pour déployer un certificat à l'aide de la stratégie de groupe

Open Group Policy Management Console.

Find an existing or create a new GPO to contain the certificate settings. Ensure that the GPO is associated with the domain, site, or organizational unit whose users you want affected by the policy.

Right-click the GPO, and then select Edit.

Group Policy Management Editor opens, and displays the current contents of the policy object.

In the navigation pane, open Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Trusted Publishers.

Click the Action menu, and then click Import.

Follow the instructions in the Certificate Import Wizard to find and import the certificate.

If the certificate is self-signed, and cannot be traced back to a certificate that is in the Trusted Root Certification Authorities certificate store, then you must also copy the certificate to that store. In the navigation pane, click Trusted Root Certification Authorities, and then repeat steps 5 and 6 to install a copy of the certificate to that store.
Mass Nerder
la source
4
Il ne semble pas que ce soit un certificat d'autorité de certification auquel il a besoin de faire confiance à ses systèmes, ce à quoi serait la solution que vous décrivez. Cela ressemble plus à un certificat et une clé privée réels que les serveurs cibles utiliseront pour héberger des services SSL. Je ne pense pas que vous puissiez utiliser les paramètres GPO des stratégies de clé publique pour déployer quelque chose comme ça.
Ryan Bolger