内容简介:在某些内部测试环境中我们需要用到自签名证书,比如给某个内部网站启用https。以前可能需要用到certutil.exe 或者OpenSSl工具,现在新版本的PowerShell已经有完整的命令提供支持了。主要会用到New-SelfSignedCertificate,Export-PfxCertificate,Export-Certificate,Import-PfxCertificate,Import-Certificate等命令。上面的DnsName我使用了两个域名,让该证书可以匹配验证多个域名,后面测
背景
在某些内部测试环境中我们需要用到自签名证书,比如给某个内部网站启用https。以前可能需要用到certutil.exe 或者OpenSSl工具,现在新版本的PowerShell已经有完整的命令提供支持了。主要会用到New-SelfSignedCertificate,Export-PfxCertificate,Export-Certificate,Import-PfxCertificate,Import-Certificate等命令。
生成自签名证书
PS> New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My\ -DnsName 'site.pstips.net','site2.pstips.net' PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\My Thumbprint Subject ---------- ------- 8479F41A61D98234837404C16E7C3B376EF215AB CN=site.pstips.net
上面的DnsName我使用了两个域名,让该证书可以匹配验证多个域名,后面测试会用到。
导出并保存自签名证书
使用Export-PfxCertificate命令导出证书是 完整导出 ,默认含私钥和扩展属性。
PS C:\> $certPwd = ConvertTo-SecureString -String ‘pwd2018’ -Force -AsPlainText PS C:\> $thumbprint = '8479F41A61D98234837404C16E7C3B376EF215AB' PS C:\> $cerPath = Get-Item Cert:\LocalMachine\My\$thumbprint PS C:\> Export-PfxCertificate -Cert $cerPath -Force d:\site.pstips.net.pfx -Password $certPwd Directory: D:\ Mode LastWriteTime Length Name ---- ------------- ------ ---- -a---- 9/4/2018 4:59 PM 2733 site.pstips.net.pfx
仅导出公钥证书
使用Export-Certificate命令导出的证书后缀名为.cer,不包含私钥。
适用于这样的场景:比如管理员在服务器上使用上述的生成的自签名证书部署了一个网站,但是因为该证书是自签名证书不受CA认证,在浏览器会有红色的证书错误提示,像曾经的12306订票网站。此时,管理员需要把自签名证书对应的 CA公钥证书 发送给自己团队的其他成员,其他成员可以把该证书在自己机器上 安装为根证书,作为信任证书 。
导出证书
PS C:\> Export-Certificate -Cert $cerPath -FilePath d:\site.pstips.net.cer Directory: D:\ Mode LastWriteTime Length Name ---- ------------- ------ ---- -a---- 9/4/2018 5:31 PM 832 site.pstips.net.cer
给IIS中的网站添加ssl证书,启用https绑定
如何启用IIS不是本篇重点,可以参考《 使用PowerShell启用IIS 》,这里我们只讲如何绑定证书。
查看网站
PS C:\> Get-Website -Name 'Default Web Site' | Get-WebBinding protocol bindingInformation sslFlags -------- ------------------ -------- http *:80: 0
启用https
PS C:\> New-WebBinding -Name $site.name -Protocol https -Port 443 -IPAddress * -HostHeader site.pstips.net -SslFlags 1 PS C:\> New-WebBinding -Name $site.name -Protocol https -Port 443 -IPAddress * -HostHeader site2.pstips.net -SslFlags 1
绑定ssl证书
$cert = Get-Item Cert:\LocalMachine\My\$thumbprint PS C:\> New-Item -Path IIS:\SslBindings\!443!site.pstips.net -Value $cert -SSLFlags 1 IP Address Port Host Name Store Sites ---------- ---- --------- ----- ----- 443 site.pstips.net My Default Web Site PS C:\> New-Item -Path IIS:\SslBindings\!443!site2.pstips.net -Value $cert -SSLFlags 1 WARNING: Binding host name 'site2.pstips.net' is not equals to certificate subject name 'site.pstips.net'. Client may not be able to connect to the site using HTTPS protocol. IP Address Port Host Name Store Sites ---------- ---- --------- ----- ----- 443 site2.pstips.net My Default Web Site
验证https网站的证书
修改网站域名的DNS指向
测试环境我们可以直接可以通过增加hosts文件记录的方式:
10.X.X.X site.pstips.net 10.X.X.X site2.pstips.net
通过浏览器地址访问,证书不受信任
结果符合预期,提示证书错误。
安装根证书后,验证成功
在上文中我们已经通过命令Export-Certificate导出了一个公钥证书site.pstips.net.cer,现在通过PowerShell把该证书导入到根证书存储区,current user和local machine两个位置都是可以的。以current user为例:
PS C:\> Import-Certificate D:\site.pstips.net.cer -CertStoreLocation Cert:\CurrentUser\Root\ PSParentPath: Microsoft.PowerShell.Security\Certificate::CurrentUser\Root Thumbprint Subject ---------- ------- 8479F41A61D98234837404C16E7C3B376EF215AB CN=site.pstips.net
刷新浏览器,可以访问https://site.pstips.net/ 或者https://site2.pstips.net/站点,证书验证通过,大功告成。
× 用微信扫描并分享
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:- Data Binding 系列(五)生成绑定类
- (译) Data Binding 生成的绑定类
- 用 F# 手写 TypeScript 转 C# 类型绑定生成器
- .NET 应用启用与禁用自动生成绑定重定向 (bindingRedirect),解决不同版本 dll 的依赖问题
- Golang Echo数据绑定中time.Time类型绑定失败
- 如何在Symfony的表单中添加一个未绑定字段,否则绑定到一个实体?
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Hacker's Delight
Henry S. Warren Jr. / Addison-Wesley / 2002-7-27 / USD 59.99
A collection useful programming advice the author has collected over the years; small algorithms that make the programmer's task easier. * At long last, proven short-cuts to mastering difficult aspec......一起来看看 《Hacker's Delight》 这本书的介绍吧!