Gerando Certificados para assinar digitalmente seus scripts

Published by Guido Oliveira on 02/02/2020

Tags

Olá pessoal,

Hoje vamos ver como gerar certificados digitais auto assinados para assinar digitalmente scripts powershell, que é uma boa pratica. Quando executamos scripts no pwoershell, o padrão é que ele bloqueie com a politica de execução de scripts que é possivel visualizar com o comando Get-ExecutionPolicy. Muitas vezes vejo no mercado utilizarem Bypass ou simplismente permitir scripts sem assinatura digital, mas isso pode ser vazão a diversos tipos de ataque, inclusive ransomwares.

Uma vez assinado digitalmente por uma certificadora confiavel, que pode ser uma entidade publica ou uma certificadora corporativa, a maquina irá executar esses scripts sem problema algum.

Para gerar o certificado basta utilizar o comando New-SelfSignedCertificate, caso queira usar uma certificadora, basta modificar o comando abaixo inserindo o parametro Signer:

$SelfSignedCertificate = @{
CertStoreLocation = 'cert:\currentuser\my'
Subject = 'CN=Guido Oliveira'
KeyAlgorithm = 'RSA'
KeyLength = '2048'
Provider = 'Microsoft Enhanced RSA and AES Cryptographic Provider'
KeyExportPolicy = 'Exportable'
KeyUsage = 'DigitalSignature'
Type = 'CodeSigningCert'
}
New-SelfSignedCertificate @SelfSignedCertificate