7、PowerShell代码签名：保障脚本安全的全面指南

PowerShell代码签名：保障脚本安全的全面指南

1. 代码签名的重要性

将代码与其创建和发布实体关联起来，能够消除运行代码的匿名性。给代码签名证书添加数字签名，就像使用品牌名称来建立信任和可靠性一样。PowerShell脚本和配置文件的用户可以根据这些信息，明智地决定是否运行脚本或加载配置文件。这就是代码签名成为PowerShell安全框架重要组成部分的原因。

2. 获取代码签名证书的方法

获取代码签名证书有两种方法：生成自签名证书和使用有效公钥基础设施（PKI）中的证书颁发机构（CA）。

2.1 自签名证书

生成自签名证书来签署PowerShell脚本和配置文件，简单快捷且无需成本。但由于没有独立第三方验证证书的真实性，其信任度不如代码签名所期望的那样高。默认情况下，其他实体不会信任自签名证书。若要将脚本或配置文件分发到其他机器，需将证书添加为受信任的根CA和受信任的发布者。不过，这存在两个问题：一是不受控制的实体可能因无法独立验证身份而不选择信任该证书；二是若自签名证书的私钥泄露或失效，无法管理其他实体上证书的有效性。因此，建议仅在本地机器或测试时使用自签名证书。

生成自签名证书的步骤如下：
1. 从 http://msdn2.microsoft.com/en-us/netframework/aa731542.aspx 下载最新的Microsoft .NET Framework SDK（撰写本文时，当前版本是2.0