Gestión de certificados SSL con Powershell DSC

12

Tengo un certificado emitido por un tercero que debo asegurarme de que se esté ejecutando en todos los destinos en un dominio determinado. ¿Hay alguna manera de garantizar que este certificado se instale mediante DSC?

omencat
fuente

Respuestas:

10

Actualmente no hay una forma integrada de hacer esto en DSC. Escribí un recurso personalizado para mi organización que instala un certificado de un PFX. Cert:Usé el PSDrive, el Import-PfxCertificatecmdlet y las credenciales seguras en DSC (para la contraseña PFX).

Actualizar

¡Esto ahora está en vivo en los recursos de Microsoft! El xPfxImportrecurso está en el xCertificatemódulo v1.1 (y más tarde presumiblemente).

También escribí sobre eso en mi propio blog .

Gracias de nuevo por el aliento (especialmente jscott ).

briantista
fuente
1
Te burlas! Actualice su respuesta si limpia su código lo suficiente como para compartirlo públicamente. :) +1
jscott
@jscott casi un año después, pero estoy tratando de agregar el código al xCertificatemódulo en los recursos DSC de Microsoft, por lo que espero que pronto esté disponible como parte de lo que una vez fue el Kit de recursos DSC (y ahora estará disponible a través del Galería de PowerShell). Mi solicitud de extracción está esperando aquí, pero puede consultar el código ahora si lo desea.
briantist
@jscott finalmente se fusionó dev, no tengo idea de cuánto tiempo llevará llegar a ser maestro. Gracias por la recompensa y su apoyo.
briantist
2

¿Qué tal el uso de la política de grupo para implementar el certificado en el dominio? http://technet.microsoft.com/en-us/library/cc770315%28v=ws.10%29.aspx

Para implementar un certificado utilizando la Política de grupo

Open Group Policy Management Console.

Find an existing or create a new GPO to contain the certificate settings. Ensure that the GPO is associated with the domain, site, or organizational unit whose users you want affected by the policy.

Right-click the GPO, and then select Edit.

Group Policy Management Editor opens, and displays the current contents of the policy object.

In the navigation pane, open Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Trusted Publishers.

Click the Action menu, and then click Import.

Follow the instructions in the Certificate Import Wizard to find and import the certificate.

If the certificate is self-signed, and cannot be traced back to a certificate that is in the Trusted Root Certification Authorities certificate store, then you must also copy the certificate to that store. In the navigation pane, click Trusted Root Certification Authorities, and then repeat steps 5 and 6 to install a copy of the certificate to that store.
Nerder masivo
fuente
44
No parece que este sea un certificado de CA en el que necesita que confíen sus sistemas, y esa es la solución para la que usted describe. Parece que tiene un certificado real y una clave privada que los servidores de destino utilizarán para alojar servicios basados ​​en SSL. No creo que pueda usar la configuración de Políticas de clave pública de GPO para implementar algo como eso.
Ryan Bolger