本文目录
背景
在某些内部测试环境中我们需要用到自签名证书,比如给某个内部网站启用https。以前可能需要用到certutil.exe 或者OpenSSl工具,现在新版本的PowerShell已经有完整的命令提供支持了。主要会用到New-SelfSignedCertificate,Export-PfxCertificate,Export-Certificate,Import-PfxCertificate,Import-Certificate等命令。
生成自签名证书
PS> New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My\ -DnsName 'site.pstips.net','site2.pstips.net' PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\My Thumbprint Subject ---------- ------- 8479F41A61D98234837404C16E7C3B376EF215AB CN=site.pstips.net
上面的DnsName我使用了两个域名,让该证书可以匹配验证多个域名,后面测试会用到。
导出并保存自签名证书
使用Export-PfxCertificate命令导出证书是完整导出,默认含私钥和扩展属性。
PS C:\> $certPwd = ConvertTo-SecureString -String ‘pwd2018’ -Force -AsPlainText
PS C:\> $thumbprint = '8479F41A61D98234837404C16E7C3B376EF215AB'
PS C:\> $cerPath = Get-Item Cert:\LocalMachine\My\$thumbprint
PS C:\> Export-PfxCertificate -Cert $cerPath -Force d:\site.pstips.net.pfx -Password $certPwd
Directory: D:\
Mode LastWriteTime Length Name
---- ------------- ------ ----
-a---- 9/4/2018 4:59 PM 2733 site.pstips.net.pfx
仅导出公钥证书
使用Export-Certificate命令导出的证书后缀名为.cer,不包含私钥。
适用于这样的场景:比如管理员在服务器上使用上述的生成的自签名证书部署了一个网站,但是因为该证书是自签名证书不受CA认证,在浏览器会有红色的证书错误提示,像曾经的12306订票网站。此时,管理员需要把自签名证书对应的CA公钥证书发送给自己团队的其他成员,其他成员可以把该证书在自己机器上安装为根证书,作为信任证书。
导出证书
PS C:\> Export-Certificate -Cert $cerPath -FilePath d:\site.pstips.net.cer
Directory: D:\
Mode LastWriteTime Length Name
---- ------------- ------ ----
-a---- 9/4/2018 5:31 PM 832 site.pstips.net.cer
给IIS中的网站添加ssl证书,启用https绑定
如何启用IIS不是本篇重点,可以参考《使用PowerShell启用IIS》,这里我们只讲如何绑定证书。
查看网站
PS C:\> Get-Website -Name 'Default Web Site' | Get-WebBinding protocol bindingInformation sslFlags -------- ------------------ -------- http *:80: 0
启用https
PS C:\> New-WebBinding -Name $site.name -Protocol https -Port 443 -IPAddress * -HostHeader site.pstips.net -SslFlags 1 PS C:\> New-WebBinding -Name $site.name -Protocol https -Port 443 -IPAddress * -HostHeader site2.pstips.net -SslFlags 1
绑定ssl证书
$cert = Get-Item Cert:\LocalMachine\My\$thumbprint
PS C:\> New-Item -Path IIS:\SslBindings\!443!site.pstips.net -Value $cert -SSLFlags 1
IP Address Port Host Name Store Sites
---------- ---- --------- ----- -----
443 site.pstips.net My Default Web Site
PS C:\> New-Item -Path IIS:\SslBindings\!443!site2.pstips.net -Value $cert -SSLFlags 1
WARNING: Binding host name 'site2.pstips.net' is not equals to certificate subject name 'site.pstips.net'. Client may
not be able to connect to the site using HTTPS protocol.
IP Address Port Host Name Store Sites
---------- ---- --------- ----- -----
443 site2.pstips.net My Default Web Site
验证https网站的证书
修改网站域名的DNS指向
测试环境我们可以直接可以通过增加hosts文件记录的方式:
10.X.X.X site.pstips.net 10.X.X.X site2.pstips.net
通过浏览器地址访问,证书不受信任
结果符合预期,提示证书错误。
安装根证书后,验证成功
在上文中我们已经通过命令Export-Certificate导出了一个公钥证书site.pstips.net.cer,现在通过PowerShell把该证书导入到根证书存储区,current user和local machine两个位置都是可以的。以current user为例:
PS C:\> Import-Certificate D:\site.pstips.net.cer -CertStoreLocation Cert:\CurrentUser\Root\ PSParentPath: Microsoft.PowerShell.Security\Certificate::CurrentUser\Root Thumbprint Subject ---------- ------- 8479F41A61D98234837404C16E7C3B376EF215AB CN=site.pstips.net
刷新浏览器,可以访问https://site.pstips.net/ 或者https://site2.pstips.net/站点,证书验证通过,大功告成。
请尊重原作者和编辑的辛勤劳动,欢迎转载,并注明出处!
不错不错