Поговорим о том как собственно получить сертификат PowerShell. Хотя на самом деле все же корректней говорить о сертификате для подписания скриптов PowerShell. Прежде чем приступить к получению у нас уже должен быть настроен Certificate Authority, создан шаблон для сертификатов подписывания кода (в моем случае шаблон называется AdatumCoders), выданы разрешения на получение сертификата соответствующим разработчикам PowerShell (в моем случае группе безопасности PowerShellCoders). Подробно с необходимыми настройками вы можете ознакомиться в моей статье безопасность PowerShell в Active Directory.
Получение сертификата для подписания скриптов PowerShell
Логинимся на компьютер разработчика с учетной записью разработчика в моем случае это Holly. Holly является членом группы безопасности PowerShellCoders. И получаем сертификат для пользователя.
1. Открываем консоль mmc (пуск, mmc, enter). Выбираем File -> Add/Remove Snap-in
2. Добавляем snap-in certificate для текущего пользователя
3. Выбираем Personal
4. Щелкаем правой кнопкой по Personal выбираем Request New Certificate
5. Пропуская несколько шагов по умолчанию, выбираем имя нашего шаблона (AdatumCoders) и щелкаем Enroll и Finish
6. Убеждаемся, что сертификат успешно получен. Поле Certificate Template должно иметь значение AdatumCoders, а поле Intended Purposes должно иметь значение Code Singing.
На этом процесс получения можно считать законченным, т.е. данный сертификат уже можно использовать.
Экспорт сертификата
Для того чтобы этот же разработчик смог использовать этот же сертификат на другом компьютере, сертификат нужно экспортировать. Безусловно, Вы всегда можете получить новый сертификат PowerShell, но чтобы избежать множество дальнейших конфигураций — лучше для одного разработчика использовать один сертификат.
И так по шагам необходимые действия:
1. В snap-in certificates выбираем сертификат, который необходимо экспортировать. Поле Certificate Template должно иметь значение AdatumCoders, а поле Intended Purposes должно иметь значение Code Singing. Щелкаем правой кнопкой по данному сертификату и выбираем all tasks -> export.
2. Выбираем Yes, export the private key
3. Убираем Include all certificates in the certification path if possible
4. Далее выбираем безопасность хранения данного сертификата, я выбрал с использованием групп безопасности и выбрал Holly, вы можете использовать пароль (он понадобится при импорте).
5. Выбираем имя файла экспортируемого сертификата. Желательно выбрать надежное хранилище.
Ну а в процессе импорта на другой компьютер нет ничего сложного. Щелкаем правой кнопкой по узлу Personal и выбираем Import.