Gerenciamento de certificado SSL com o Powershell DSC

12

Eu tenho um certificado emitido por terceiros que preciso garantir que esteja sendo executado em todos os destinos em um determinado domínio. Existe uma maneira de garantir que este certificado seja instalado por meio do DSC?

powershell ssl-certificate dsc omencat
fonte

Respostas:

10

Atualmente, não há uma maneira integrada de fazer isso no DSC. Eu escrevi um recurso personalizado para minha organização que instala um certificado de um PFX. Usei o Cert:PSDrive, o Import-PfxCertificatecmdlet e as credenciais seguras no DSC (para a senha PFX).

Atualizar

Agora ele está disponível nos recursos da Microsoft! O xPfxImportrecurso está no xCertificatemódulo v1.1 (e mais tarde, presumivelmente).

Também escrevi sobre isso no meu próprio blog .

Mais uma vez obrigado pelo incentivo (especialmente o jscott ).

briantist
fonte
1
Você provoca! Atualize sua resposta se você limpar seu código o suficiente para compartilhá-lo publicamente. :) +1
jscott
@jscott quase um ano depois, mas estou tentando adicionar o código ao xCertificatemódulo nos recursos DSC da Microsoft, por isso espero que em breve esteja disponível como parte do que era o DSC Resource Kit (e agora estará disponível através do Galeria do PowerShell). Minha solicitação de recebimento está aguardando aqui, mas você pode dar uma olhada no código agora, se quiser.
Briantist
O @jscott finalmente se fundiu dev, sem ideia de quanto tempo levará para entrar no master. Obrigado pela recompensa e pelo seu apoio.
Briantist 7/11
2

Que tal usar a diretiva de grupo para implantar o certificado no domínio? http://technet.microsoft.com/en-us/library/cc770315%28v=ws.10%29.aspx

Para implantar um certificado usando a Diretiva de Grupo

Open Group Policy Management Console.

Find an existing or create a new GPO to contain the certificate settings. Ensure that the GPO is associated with the domain, site, or organizational unit whose users you want affected by the policy.

Right-click the GPO, and then select Edit.

Group Policy Management Editor opens, and displays the current contents of the policy object.

In the navigation pane, open Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Trusted Publishers.

Click the Action menu, and then click Import.

Follow the instructions in the Certificate Import Wizard to find and import the certificate.

If the certificate is self-signed, and cannot be traced back to a certificate that is in the Trusted Root Certification Authorities certificate store, then you must also copy the certificate to that store. In the navigation pane, click Trusted Root Certification Authorities, and then repeat steps 5 and 6 to install a copy of the certificate to that store.
Mass Nerder
fonte
4
Não parece que este seja um certificado da CA em que ele precise confiar em seus sistemas, e é nisso que a solução que você descreve seria. Parece mais que ele tem um certificado real e uma chave privada que os servidores de destino usarão para hospedar serviços baseados em SSL. Não acredito que você possa usar as configurações de GPO de Políticas de Chave Pública para implantar algo assim.
Ryan Bolger 22/10