Nedávno jsem se dostal do problému, jak trochu automatizovat pár operací s certifikáty. Vše potřebné se dá udělat pomocí certreq nebo certutil, ale protože to ve finále měl obluhovat běžný uživatel, není to úplně ideální cesta.

Po troše hledání jsem narazil na zajímavou powershell knihovnu PSPKI.
Po přidání pár řádek kódu a gui okýnek vznikl jednoduchý nástroj na zpracování CSR, odeslání na CA a po schválení i následně stažení certifikátu.

Instalace klasicky z Powershell Gallery

Install-Module -Name PSPKI

Cena za knihovnu je přijatelná a pokud potřebujete automatizovat operace nad CA, je to zajímavá cesta. Dokumentace je dostatečná. Funguje. Co víc si přát.

 

Vlastní powershell skripty píšu ve starém, ale výborném PowerGUI editoru. Má neuvěřitelně skvělý systém doplňků. Postupně se snažím přejít na Visual Studio Code, ale stále mi chybí jedna věc. Jednoduše přes nějaké GUI podepsat výsledný .ps1 kód.

V bugttackeru pro VSC to je. Dlouho, ale prý to není urgentní a udělané to zatím není.

Prošel jsem weby a našel zajímavou inspiraci: vlastní powershell funkce, která si najde v OS úložišti certifikát pro podpis kódu, spojí s timestamp serverem a podepíše jeden nebo více .ps1 skriptů, předaných jako parametr(y).

Protože funkce bere parametry i z pipe a také pozičně, lze jí volat několika způsoby:

Set-Signature -FilePath MyScript.ps

Get-ChildItem *.ps1 | Set-Signature

a protože funkce má definován name alias, lze ji volat i krátkým názvem:

Sig MyScript.ps1

Pokud si funkci přidáte do powershell user profilu, bude lehce dostupná vždy.

Pokud potřebujete řešit 2FA zabezpečení RDP, nabízím tip: SecurEnvoy

Dostal se mi do ruky k otestování produkt SecurAccess. Jedná se sice o placenou věc, ale jednoduchost nasazení, licencování na uživatele (Active Directory, Novell, LDAP) a bezplatná HA instalace bez limitu počtu HA node je zajímavá.

SecurAccess funguje jako Radius server a umožňuje ověřit uživatele pomocí SMS (HW modem nebo internetová služba), pomocí SW generátoru kódů nebo pomocí HW tokenu. Výrobce nabízí popis integrace s celou řadou výrobců jako je Checkpoint, Microsoft, Cisco ASA, F5 atp.

Integrační návody: https://www.securenvoy.com/en-gb/integration-guides

My se ale podíváme na jednu komponentu, která Vám vyřeší 2FA přístup na server Windows: Windows Login Agent

Pokud si chcete osahat novinky v připravovaných Windows11, nemusíte být nutně členem Insider kanálu. Ukážeme si cestu, jak si stáhnout potřebné věci, sestavit ISO a instalovat bez TPM čipu např. do virtuálu.

Jedná se o Powershell modul pro práci s CheckPoint R80 Web API a R80.10 Firewall Identity Awareness Web API. Modul Vám umožní jednoduše volat vestavěná XML WEB API a automatizovat tak celou řadu operací s Checkpoint objekty.

Dokumentaci najdete na webu projektu https://tkoopman.github.io/psCheckPoint/

psCheckPoint funguje jak ve Full Desktop (Windows), tak i v Powershell Core edici (Win, Linux, OSX).

Nainstalujete pomocí "Install-Module -Name psCheckPoint [-Scope CurrentUser]"

 

Jednoduchý příklad použití najdete v sekci ke stažení: Add-Blacklist.ps1