Discussion :

[david.catus]

Bonjour à tous

Je souhaite utiliser des scripts powershell pour gérer mon environnement AD.

Sur un poste de test :

- Je génère un certificat auto signé, je l'enregistre dans la console de gestion des certificats à la fois dans les "Autorités de certification racines de confiance" et "Editeurs approuvés".
- Je bascule la policy en AllSigned pour le current user et le local machine.
- Je signe le script PS concerné (stocké sur un partage rzo !).
- J’exécute le script ... ça fonctionne ...

Sur un poste :

- J'intègre le certificat dans le magasin.
- Je bascule la policy en AllSigned pour le current user et le local machine.
- J'exécute le script et cela ne marche pas, l'environnement d’exécution de PS m'informe "impossible de charger le fichier XXXXXX. Le contenu du fichier XXXX peut avoir été falsifié car le hachage ... ne correspond pas à celui qui figure dans la signature numérique"

Je n'ai pas entre temps modifié le script ! la seule modification effective c'est l'ajout en fin de script du hachage ! j
Avez vous une idée de l'origine de mon problème ? l'environnement d’exécution ? script sur partage rzo (pourtant chemin UNC identique) ? paramètre d'encodage non valable ci - dessous la commande utilisée pour la signature :
Set-AuthenticodeSignature \\srv1\partage$\powershell\testscriptsigne.ps1 @(gci Cert:\LocalMachine\My -DnsName informatiquetest.ledomaine.local -codesigning)[0]


J'envisage par la suite via des GPO de modifier la policy sur allsigned, l'installation du certificat, etc mais je suis BLOQUE !

Merci à vous

[6ratgus]

salut

sauf erreur le certificat doit etre genere par l'Autorité de Certification Active Directory
les etape pas à pas sur ce blog

[david.catus]

Bonjour et merci de votre aide.

Je connais ce tuto, effectivement les bonnes pratiques précisent l'usage d'une telle autorité ! dans mon cas je n'ai pas la possibilité d'installer ce "module" Windows !

Les autres tutos qui "utilisent" un certificat auto comme moi, ne semblent pas rencontrer mon problème ! pourquoi considéré que le fichier a été modifié ?

Quelqu'un a t'il réussi à mettre en place un test similaire ?

Merci encore

[david.catus]

Bonjour à tous !

Malheureusement je n'ai toujours pas trouvé de solution à mon problème. Je me pose la question suivante : comment faites vous pour utiliser vos script PS en production (AD & Sécurité) ???

Vous avez tous installé une machine en tant qu'autorité ? ou bien vous ne rencontrez pas mon problème ?

Merci

[Laurent Dardenne]

Salut,
je n'y connais pas grand chose dans ce domaine, mais essaie déjà ton script en local avant d'utiliser un chemin UNC.
Même sans l'usage de certificats l'usage de chemin UNC peut poser pb.

[david.catus]

Bonjour Laurent et merci de ton aide.

Non malheureusement cela ne change rien de travailler en local ! cette histoire de hachage qui ne correspond pas à celui du fichier d'origine est toujours un mystère pour moi. Il y a certainement
quelque chose que je ne comprend pas . En plus, une fois la signature générée, elle est ajoutée dans un bloc à la fin du fichier script donc forcement le contenu du script "évolue" mais pour autant cela est normal j'imagine pas que c'est ce bloc qui lui propose problème puisque c'est la raison d'être de la signature ...

Personne n'utilise PS en production via les GPO sans autorité de certificat ??? il y a beaucoup de tuto sur la méthode avec les opérations à réaliser (génération certificat, importation, modificaton politique d’exécution des scripts PS, etc...) mais ce problème est cité uniquement pour illustrer le cas d'un "piratage" de contenu qui remet en question l'intégrité du script !

@+