Recientemente, me preguntaron como podríamos crear nuestros propios scripts de powerShell firmados digitalmente, por ejemplo para uso en organizaciones Exchange Server 2007.

Pues bien, la firma digital se aplica de forma muy sencilla. Lo primero que necesitaremos es un certificado emitido con el propósito de firma de código. El certificado puede ser autofirmado o emitido por una Entidad Certificadora de confianza. (Si es para uso interno de la organización, una Entidad Certificadora de empresa es igualmente válida).

Además debemos instalar el certificado con el que vamos a firmar en el perfil del usuario que realiza la firma. Podemos comprobar los certificados existentes e imnportar nuevos certificados desde la consola MMC de certificados.

Si queremos generar un certificado autofirmado podemos hacerlo con la herramienta makecert, disponible en el SDK de .Net Framework 2.0. Los siguientes ejemplos muestran como se puede crear una entidad certificadora de ámbito local y a continuación un certificado firmado por dicha entidad.

• makecert -n "CN=Entidad Certificadora local para PowerShell" -a sha1 -eku 1.3.6.1.5.5.7.3.3 -r -sv root.pvk root.cer -ss Root -sr localMachine

• makecert -pe -n "CN=Usuario de PowerShell" -ss MY -a sha1 -eku 1.3.6.1.5.5.7.3.3 -iv root.pvk -ic root.cer

Una vez que tenemos el certificado instalado correctamente, ejecutaremos el siguiente cmdlet para firmar los scripts de PowerShell

• $cert = Get-ChildItem -path cert:\CurrentUser\my -CodeSigningCert
• Set-AuthenticodeSignature MiPrimerScript.ps1 -cert $cert

Más información en:

• http://technet.microsoft.com/en-us/library/bb978642(TechNet.10).aspx
• http://msdn.microsoft.com/es-es/library/bfsktky3(VS.80).aspx