PowerShell生成自签名证书并绑定到IIS

背景

在某些内部测试环境中我们需要用到自签名证书，比如给某个内部网站启用https。以前可能需要用到certutil.exe 或者OpenSSl工具，现在新版本的PowerShell已经有完整的命令提供支持了。主要会用到New-SelfSignedCertificate，Export-PfxCertificate，Export-Certificate，Import-PfxCertificate，Import-Certificate等命令。

生成自签名证书

PS> New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My\ -DnsName 'site.pstips.net','site2.pstips.net'


   PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\My

Thumbprint                                Subject
----------                                -------
8479F41A61D98234837404C16E7C3B376EF215AB  CN=site.pstips.net

上面的DnsName我使用了两个域名，让该证书可以匹配验证多个域名，后面测试会用到。

导出并保存自签名证书

使用Export-PfxCertificate命令导出证书是 完整导出 ，默认含私钥和扩展属性。

PS C:\> $certPwd = ConvertTo-SecureString -String ‘pwd2018’  -Force -AsPlainText
PS C:\> $thumbprint = '8479F41A61D98234837404C16E7C3B376EF215AB'
PS C:\> $cerPath = Get-Item Cert:\LocalMachine\My\$thumbprint
PS C:\> Export-PfxCertificate -Cert $cerPath -Force d:\site.pstips.net.pfx -Password $certPwd


    Directory: D:\


Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----         9/4/2018   4:59 PM           2733 site.pstips.net.pfx

仅导出公钥证书

使用Export-Certificate命令导出的证书后缀名为.cer,不包含私钥。

适用于这样的场景：比如管理员在服务器上使用上述的生成的自签名证书部署了一个网站，但是因为该证书是自签名证书不受CA认证，在浏览器会有红色的证书错误提示，像曾经的12306订票网站。此时，管理员需要把自签名证书对应的 CA公钥证书 发送给自己团队的其他成员，其他成员可以把该证书在自己机器上 安装为根证书，作为信任证书 。

导出证书

PS C:\> Export-Certificate -Cert $cerPath -FilePath d:\site.pstips.net.cer


    Directory: D:\


Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----         9/4/2018   5:31 PM            832 site.pstips.net.cer

给IIS中的网站添加ssl证书，启用https绑定

如何启用IIS不是本篇重点，可以参考《 使用PowerShell启用IIS 》，这里我们只讲如何绑定证书。

查看网站

PS C:\> Get-Website -Name 'Default Web Site' | Get-WebBinding

protocol bindingInformation sslFlags
-------- ------------------ --------
http     *:80:                     0

启用https

PS C:\> New-WebBinding -Name $site.name -Protocol https -Port 443 -IPAddress * -HostHeader site.pstips.net -SslFlags 1
PS C:\> New-WebBinding -Name $site.name -Protocol https -Port 443 -IPAddress * -HostHeader site2.pstips.net -SslFlags 1

绑定ssl证书

$cert = Get-Item Cert:\LocalMachine\My\$thumbprint
PS C:\>  New-Item -Path IIS:\SslBindings\!443!site.pstips.net -Value $cert -SSLFlags 1

IP Address          Port   Host Name        Store            Sites
----------          ----   ---------        -----            -----
                    443    site.pstips.net  My               Default Web Site

PS C:\>  New-Item -Path IIS:\SslBindings\!443!site2.pstips.net -Value $cert -SSLFlags 1
WARNING: Binding host name 'site2.pstips.net' is not equals to certificate subject name 'site.pstips.net'. Client may
not be able to connect to the site using HTTPS protocol.

IP Address          Port   Host Name        Store            Sites
----------          ----   ---------        -----            -----
                    443    site2.pstips.net My               Default Web Site

验证https网站的证书

修改网站域名的DNS指向

测试环境我们可以直接可以通过增加hosts文件记录的方式：

10.X.X.X	site.pstips.net
10.X.X.X	site2.pstips.net

通过浏览器地址访问，证书不受信任

结果符合预期，提示证书错误。

安装根证书后，验证成功

在上文中我们已经通过命令Export-Certificate导出了一个公钥证书site.pstips.net.cer，现在通过PowerShell把该证书导入到根证书存储区，current user和local machine两个位置都是可以的。以current user为例：

PS C:\> Import-Certificate D:\site.pstips.net.cer -CertStoreLocation Cert:\CurrentUser\Root\


   PSParentPath: Microsoft.PowerShell.Security\Certificate::CurrentUser\Root

Thumbprint                                Subject
----------                                -------
8479F41A61D98234837404C16E7C3B376EF215AB  CN=site.pstips.net

刷新浏览器，可以访问https://site.pstips.net/ 或者https://site2.pstips.net/站点，证书验证通过，大功告成。

× 用微信扫描并分享