Vadims Podans's blog - Экспорт PFX с удалением ключа из хранилища в PowerShell

« (Older Post) Импорт сертификатов в PowerShell | Certificate management pack (Newer Post) »

Экспорт PFX с удалением ключа из хранилища в PowerShell

Короткая заметка. Когда вы экспортируете сертификат вместе с закрытым ключом, то можете заметить такую опцию:

Delete the Private key if the export is successful

К сожалению, метод Export() у объектов X509Certificate2 не позволяет штатно проделывать данную операцию. Это можно сделать через CAPICOM.PrivateKey.Delete(), но данная возможность отсутствует в PowerShell, в то время, как вы можете это сделать в VBS. Это связано с весьма паршивой поддержкой COM со стороны PowerShell, поэтому для реализации функционала этой галочки вам придётся проделать следующие шаги:

Получить объект X509Certificate2 самого сертификата;
Экспортировать его в PFX;
Открыть хранилище в режиме ReadWrite;
Удалить данный сертификат из хранилища;
Экспортировать объект сертификата уже не в PFX, а в Cert;
Импортировать этот экспортированный объект Cert (хотя, на самом деле там будет массив байтов, но это не столь существенно).

На языке PowerShell это выглядеть будет примерно так:

# получаем объект сертификата с закрытым ключом
$cert = (dir cert:\currentuser\my)[0]
# записываем пароль для PFX файла
$pass = Read-Host "Password" -AsSecureString
# экспортируем его в PFX формат
$bytes = $cert.Export("pfx", $pass)
# и записывем его в файл
[System.IO.File]::WriteAllBytes('mycert.pfx', $bytes)
# снова экспортируем данный объект, но уже в Cert формат
$tempcert = $cert.Export("Cert")
# создаём объект нашего хранилища
$store = New-Object system.security.cryptography.X509Certificates.X509Store "my", "CurrentUser"
# открываем его на чтение и на запись
$store.Open([System.Security.Cryptography.X509Certificates.OpenFlags]::ReadWrite)
# удаляем текущий сертификат с закрытым ключом из хранилища
$store.Remove($cert)
# записываем обратно Cert объект в хранилище, теперь уже без закрытого ключа
$store.Add($tempcert)
$store.Close()

Это только образец кода и его не стоит использовать прямо в таком виде, т.к. вы должны точно убедиться, что у вас PFX файл создался и он валидный. В противном случае вы останетесь совсем без закрытого ключа. И ещё раз напоминаю, при работе с хранилищем – не забывайте его закрывать после работы.

PowerShell | Certificates

Thursday, September 10, 2009 10:07:54 PM (FLE Daylight Time, UTC+03:00) Comments [2]

« (Older Post) Импорт сертификатов в PowerShell | Certificate management pack (Newer Post) »

All content © 2008 - 2012, Vadims Podāns
"Spaces" Theme provided by: Vadims Podāns

About

Vadims Podāns

E-mail -

Live Messenger -

For english language visitors

Библиотека

Календарик

February 2012

Sun

Mon

Tue

Wed

Thu

Fri

Sat

Категории

DasBlog

Networking

PowerShell

Public

Security

Полезности

Все посты

Блоги PowerShell OPML

/\/\o\/\/'s PowerShell blog

Marco Shaw's PowerShell blog

PowerShell Team

Richard Siddaway's PowerShell blog

Shay Levy

Блог Василия Гусева по PowerShell

IT ресурсы OPML

Pavel Nagaev on ExchangeRUS

Peter Gubarevich's Windows Security blog

«Слава Протоколу»

Scott Hanselman's ComputerZen.com

shs's scripting blog

Windows PKI blog

Favorites

Архив

Полный архив по категориям

Disclaimer

Вся информация на сайте предоставляется на условиях «как есть», без предоставления каких-либо гарантий и прав.

При использовании материалов c данного сайта ссылка на оригинальный источник обязательна.