كيف يمكنني منع الحاجة إلى إعادة توقيع قانون بلدي كل 1 أو 2 سنوات؟
https://stackoverflow.com/questions/912955
-
06-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
وكنت أقرأ ماذا يحدث عندما تنتهي شهادة توقيع التعليمات البرمجية - المكدس تجاوز ويتساءل عن إجابة أكثر صلابة. كان الجواب قدمت أكثر حول إعداد المرجع المصدق الخاص بك حتى مع CA الخاصة بك سوف لا تزال بحاجة للتعامل مع تنتهي شهادات التعليمات البرمجية.
إذا كنت وقعت رمز دون استخدام الوقت ختم الخدمة، بعد انتهاء صلاحية شهادة لن تكون موثوقة التعليمات البرمجية الخاصة بك، واعتمادا على إعدادات الأمان قد لا يسمح ليتم تشغيله. سوف تحتاج إلى إعادة تسجيل الدخول كل من التعليمات البرمجية الخاصة بك مع شهادة جديدة، أو بشهادة متجدد، كل 1 أو 2 سنوات.
والموثوق بها (الرقمي) ختم الوقت يسمح التوقيع الرقمي لتكون صالحة حتى بعد الشهادة نفسها قد انتهت صلاحيتها. قد تحتاج إلى إعادة علامة الرمز مع شهادة جديدة إلا إذا قمت بإجراء تغييرات.
هل هذا يبدو كل شيء صحيح؟ إذا كان الأمر كذلك، ولست بحاجة توصيات بشأن ما هي خدمة ختم الوقت للاستخدام، ويفضل أن يكون من شخص الذي يستخدم في الواقع واحدة. كما أود أن أعرف إذا كان هناك أي حلول في المنزل، على غرار يجري CA الخاصة بك.
والآن هذا ينطبق على النصوص بوويرشيل، ولكن سوف يكون في نهاية المطاف نفس القضية مع رمز آخر.
على تحديث : في عينة من كيفية تسجيل برنامج نصي PS مع طابع زمني (يمكنك جعل النصي لهذا):
Set-AuthenticodeSignature -filepath "D:\Projects\A Sample\MyFile.ps1"
-cert gci cert:\CurrentUser\My -codesigning
| where -Filter {$_.FriendlyName -eq "Thawte Code Signing"}
-IncludeChain All
-TimeStampServer "http://timestamp.verisign.com/scripts/timstamp.dll"
وبعد ذلك، لرؤية شهادة وتيميستامبر الموقع على الشهادات، يمكنك القيام بذلك:
Get-AuthenticodeSignature MyFile.ps1 | fl *
فهو يوفر لك موضوع (CN، OU، الخ)، والمصدر، قبل / بعد تواريخ، وبصمات الإبهام لكلا سيرت وسيرت على تيميستامبر ل. يمكنك أيضا الحصول على رسالة تشير إلى حالة من التوقيع.
المحلول
وكنت أفضل حالا اختيار واحدة من مقدمي شهادة موثوق بها (فيريساين، THAWTE، كمودو، وما إلى ذلك). هذا يسمح لك لتوقيع البرنامج دون المستخدم يثق صراحة CA. الجذر الخاص لقد استخدمنا كل من فيريساين وTHAWTE، كمودو حتى GoDaddy أو مع ختم الوقت دون أية مشاكل مع البرنامج يصبح السنوات الزوجية غير صالحة بعد انتهاء الشهادة.
نصائح أخرى
وختم الوقت هو خدمة مجانية - انها حقا الموثوق بها فقط مقدم التحقق من التوقيع على ملف في وقت معين. خدمة الطابع الزمني فيريساين هو معيار واحد. المثال الأخير في مساعدة لمجموعة-AuthenticodeSignature يوضح كيفية استخدامها.
ولي هولمز [MSFT] التنمية ل Windows PowerShell شركة مايكروسوفت
ولا يمكنك الهروب حقا الحاجة إلى الاستقالة متاحة في نهاية المطاف. ميزة لتشغيل CA الخاص بك هو أنك يمكن أن تختار لإصدار الخاص بك موتس توقيع الشفرة مع عمر أطول من الافتراضي، مما يسمح لك لالانتظار لفترة أطول قبل الحاجة إلى الاستقالة أي شيء. الجانب السلبي هو بالطبع وجود خدمة أو الخادم (CA الخاص بك) آخر للتعامل معها.
