使用 Yubikey 进行 PowerShell 代码签名

介绍

我有由 DigiCert 颁发的公共代码签名证书。我希望能够在任何地方签署我的 PowerShell 脚本，例如当我在客户那里时，但必须将代码移动到我拥有代码签名证书的地方才能对其进行签名，这很麻烦。我一直在 VSTS 中尝试构建作业，因此如果我签入脚本，构建作业将自动为我签名，但这需要访问互联网和 VSTS。

Yubikey 来救援

Yubikey 是一种小型 USB 设备，看起来有点像一个非常薄的 USB 记忆棒。我使用 Yubikey 作为第二因素已经有一段时间了，它运行得很好，但我没有考虑过使用它进行代码签名的可能性。设置证书后，它的工作原理就像智能卡一样，将其插入，它将为您保存您的私钥。不久前，我重置了密钥，给了它新的密码，并将我的签名证书存储在上面。现在我可以将其插入任何计算机并随时使用我的证书，而不必担心将我的私钥存储在某处。有关如何设置 Yubikey 的说明，请查看我关于如何设置 Yubikey 以进行 PowerShell 代码签名的帖子。

使用我的 Yubikey 签署代码

将我的证书导入 Yubikey 后，我可以将密钥插入任何计算机，并且当前用户的证书存储中将提供证书。让我们枚举一下这家商店，看看它是什么样子的：

Get-ChildItem -Path "cert:\currentuser\my" -CodeSigning

仅当路径指向证书存储时，使用参数 -CodeSigning 才有效，并且它将使 Get-ChildItem 仅返回对代码签名有效的证书。

接下来，我们来签个名吧！

我有一个名为 DSACL 的模块，其中包含在 Active Directory 中设置 ACL 的功能。我想在将其发布到画廊之前签署此模块。有两种方法可以对模块进行签名：对每个单独的文件进行签名以及使用目录签名。我将同时使用两者，您可以在 PowerShell 库的发布最佳实践指南中阅读更多相关信息。

首先我需要参考我的证书。如果您的计算机上只有一个代码签名证书，您可以将上面的 Get-ChildItem 的输出存储到一个变量中。如果您有多个，我喜欢使用 Out-GridView 来选择我想要的一个，如下所示：

$Cert = Get-ChildItem -Path 'cert:\currentuser\my' -CodeSigning | Out-GridView -PassThru

现在我要签署我的脚本文件，这是 PowerShell 在加载模块时将验证的签名。签名是使用命令 Set-AuthenticodeSignature 完成的。为了确保即使在证书过期后我的签名仍然有效，我使用了时间戳服务器，这将为我的签名添加时间戳，并可以验证我的证书在签名时是否有效。我只想签署我的模块和清单文件，因此我使用以下命令并确保我位于文件所在的目录中：

Get-ChildItem -Path '*.ps*' | Set-AuthenticodeSignature -Certificate $Cert -TimestampServer 'http://timestamp.digicert.com'

下一部分是创建一个目录文件，其中包含每个文件的哈希和，这样可以确认没有任何更改。当我使用 Install-Module 安装模块时，PowerShellGet 将使用它。我可以选择使用目录版本 1 或版本 2。版本 1 将使用 SHA1，版本 2 将使用 SHA256 算法。为了与 Windows 7 兼容（我们可能还要忍受一段时间），我将使用版本 1。我使用的命令是：

New-FileCatalog -CatalogVersion 1 -CatalogFilePath .\DSACL.cat -Path $PWD.Path

我仍然位于要签名的文件所在的目录中。这允许我使用包含当前文件夹路径的默认变量 $PWD。这将创建文件 DSACL.cat，其中包含目录中每个文件的哈希值。如果更改、添加或删除任何文件，DSACL.cat 文件将不再有效。现在，为了确保我的目录文件没有更改，我将使用以下命令对其进行签名：

Set-AuthenticodeSignature -Certificate $Cert -TimestampServer 'http://timestamp.digicert.com' -FilePath .\DSACL.cat

现在，PowerShell 可以验证每个 PowerShell 文件（模块文件和模块清单）上的签名，并且 PowerShell get 可以验证我的目录签名文件上的签名以及我的目录签名文件的有效性，只要它全部签出，我可以确信没有人更改我的代码。

就是这样！签约愉快！