Set-AuthenticodeSignature
Agrega una firma Authenticode a un script de PowerShell u otro archivo.
Sintaxis
Set-AuthenticodeSignature
[-Certificate] <X509Certificate2>
[-IncludeChain <String>]
[-TimestampServer <String>]
[-HashAlgorithm <String>]
[-Force]
[-FilePath] <String[]>
[-WhatIf]
[-Confirm]
[<CommonParameters>] Set-AuthenticodeSignature
[-Certificate] <X509Certificate2>
[-IncludeChain <String>]
[-TimestampServer <String>]
[-HashAlgorithm <String>]
[-Force]
-LiteralPath <String[]>
[-WhatIf]
[-Confirm]
[<CommonParameters>] Set-AuthenticodeSignature
[-Certificate] <X509Certificate2>
[-IncludeChain <String>]
[-TimestampServer <String>]
[-HashAlgorithm <String>]
[-Force]
-SourcePathOrExtension <String[]>
-Content <Byte[]>
[-WhatIf]
[-Confirm]
[<CommonParameters>] Description
Este cmdlet solo está disponible en la plataforma Windows.
El cmdlet Set-AuthenticodeSignature agrega una firma Authenticode a cualquier archivo que admita Subject Interface Package (SIP).
En un archivo de script de PowerShell, la firma adopta la forma de un bloque de texto que indica el final de las instrucciones que se ejecutan en el script. Si hay una firma en el archivo cuando se ejecuta este cmdlet, se quita esa firma.
Ejemplos
Ejemplo 1: Firmar un script mediante un certificado del almacén de certificados local
Estos comandos recuperan un certificado de firma de código del proveedor de certificados de PowerShell y lo usan para firmar un script de PowerShell.
$cert = Get-ChildItem -Path Cert:\CurrentUser\My -CodeSigningCert
Set-AuthenticodeSignature -FilePath PsTestInternet2.ps1 -Certificate $certEl primer comando usa el cmdlet Get-ChildItem y el proveedor de certificados de PowerShell para obtener los certificados en el subdirectorio Cert:\CurrentUser\My del almacén de certificados. La unidad Cert: es la unidad expuesta por el proveedor de certificados. El parámetro CodeSigningCert, que solo es compatible con el proveedor de certificados, limita los certificados recuperados a los que tienen entidad de firma de código. El comando almacena el resultado en la variable $cert.
El segundo comando usa el cmdlet Set-AuthenticodeSignature para firmar el script PSTestInternet2.ps1. Usa el parámetro FilePath para especificar el nombre del script y el parámetro Certificate para especificar que el certificado se almacena en la variable $cert.
Nota
Con el parámetro CodeSigningCert con Get-ChildItem solo devuelve certificados que tienen entidad de firma de código y contienen una clave privada. Si no hay ninguna clave privada, los certificados no se pueden usar para firmar.
Ejemplo 2: Firmar un script mediante un certificado de un archivo PFX
Estos comandos usan el cmdlet Get-PfxCertificate para cargar un certificado de firma de código. A continuación, úselo para firmar un script de PowerShell.
$cert = Get-PfxCertificate -FilePath C:\Test\Mysign.pfx
Set-AuthenticodeSignature -FilePath ServerProps.ps1 -Certificate $certEl primer comando usa el cmdlet Get-PfxCertificate para cargar el certificado C:\Test\MySign.pfx en la variable $cert.
El segundo comando usa Set-AuthenticodeSignature para firmar el script. El parámetro FilePath de Set-AuthenticodeSignature especifica la ruta de acceso al archivo de script que se firma y el parámetro cert pasa la variable $cert que contiene el certificado a Set-AuthenticodeSignature.
Si el archivo de certificado está protegido con contraseña, PowerShell le pedirá la contraseña.
Ejemplo 3: Agregar una firma que incluya la entidad raíz
Este comando agrega una firma digital que incluye la entidad raíz en la cadena de confianza y está firmada por un servidor de marca de tiempo de terceros.
$signingParameters = @{
FilePath = 'C:\scripts\Remodel.ps1'
Certificate = $cert
HashAlgorithm = 'SHA256'
IncludeChain = 'All'
TimestampServer = 'http://timestamp.fabrikam.com/scripts/timstamper.dll'
}
Set-AuthenticodeSignature @signingParametersEl comando usa el parámetro FilePath para especificar el script que se firma y el parámetro Certificate para especificar el certificado que se guarda en la variable $cert. Usa el parámetro IncludeChain para incluir todas las firmas de la cadena de confianza, incluida la entidad raíz. También usa el parámetro TimeStampServer para agregar una marca de tiempo a la firma.
Esto impide que se produzca un error en el script cuando expire el certificado.
Parámetros
-Certificate
Especifica el certificado que se usará para firmar el script o el archivo. Escriba una variable que almacene un objeto que represente el certificado o una expresión que obtenga el certificado.
Para buscar un certificado, use Get-PfxCertificate o use el cmdlet Get-ChildItem en la unidad certificate Cert:. Si el certificado no es válido o no tiene code-signing autoridad, se produce un error en el comando.
| Tipo: | X509Certificate2 |
| Posición: | 1 |
| Valor predeterminado: | None |
| Requerido: | True |
| Aceptar entrada de canalización: | False |
| Aceptar caracteres comodín: | False |
-Confirm
Le pide confirmación antes de ejecutar el cmdlet.
| Tipo: | SwitchParameter |
| Alias: | cf |
| Posición: | Named |
| Valor predeterminado: | False |
| Requerido: | False |
| Aceptar entrada de canalización: | False |
| Aceptar caracteres comodín: | False |
-Content
Este parámetro aparece en la lista de sintaxis porque se define en la clase base de la que se deriva Set-AuthenticodeSignature. Sin embargo, la compatibilidad con este parámetro no se implementa en Set-AuthenticodeSignature.
| Tipo: | Byte[] |
| Posición: | Named |
| Valor predeterminado: | None |
| Requerido: | True |
| Aceptar entrada de canalización: | True |
| Aceptar caracteres comodín: | False |
-FilePath
Especifica la ruta de acceso a un archivo que se está firmando.
| Tipo: | String[] |
| Posición: | 1 |
| Valor predeterminado: | None |
| Requerido: | True |
| Aceptar entrada de canalización: | True |
| Aceptar caracteres comodín: | False |
-Force
Permite que el cmdlet anexe una firma a un archivo de solo lectura. Incluso con el parámetro Force, el cmdlet no puede invalidar las restricciones de seguridad.
| Tipo: | SwitchParameter |
| Posición: | Named |
| Valor predeterminado: | False |
| Requerido: | False |
| Aceptar entrada de canalización: | False |
| Aceptar caracteres comodín: | False |
-HashAlgorithm
Especifica el algoritmo hash que Windows usa para calcular la firma digital del archivo.
Para PowerShell 7.3, el valor predeterminado es SHA256, que es el algoritmo hash predeterminado de Windows. Para versiones anteriores, el valor predeterminado es SHA1. Es posible que los archivos firmados con un algoritmo hash diferente no se reconozcan en otros sistemas. Los algoritmos que se admiten dependen de la versión del sistema operativo.
Para obtener una lista de los valores posibles, consulte la estructura HashAlgorithmName.
| Tipo: | String |
| Posición: | Named |
| Valor predeterminado: | SHA256 |
| Requerido: | False |
| Aceptar entrada de canalización: | False |
| Aceptar caracteres comodín: | False |
-IncludeChain
Determina qué certificados de la cadena de confianza de certificados se incluyen en la firma digital. NotRoot es el valor predeterminado.
Los valores válidos son:
-
Signer: incluye solo el certificado del firmante. -
NotRoot: incluye todos los certificados de la cadena de certificados, excepto para la entidad raíz. -
All: incluye todos los certificados de la cadena de certificados.
| Tipo: | String |
| Posición: | Named |
| Valor predeterminado: | NotRoot |
| Requerido: | False |
| Aceptar entrada de canalización: | False |
| Aceptar caracteres comodín: | False |
-LiteralPath
Especifica la ruta de acceso a un archivo que se está firmando. A diferencia de FilePath, el valor del parámetro LiteralPath se usa exactamente como se escribe. No se interpreta ningún carácter como caracteres comodín. Si la ruta de acceso incluye caracteres de escape, escríbala entre comillas simples. Las comillas simples indican a PowerShell que no interprete ningún carácter como secuencias de escape.
| Tipo: | String[] |
| Alias: | PSPath, LP |
| Posición: | Named |
| Valor predeterminado: | None |
| Requerido: | True |
| Aceptar entrada de canalización: | True |
| Aceptar caracteres comodín: | False |
-SourcePathOrExtension
Este parámetro aparece en la lista de sintaxis porque se define en la clase base de la que se deriva Set-AuthenticodeSignature. Sin embargo, la compatibilidad con este parámetro no se implementa en Set-AuthenticodeSignature.
| Tipo: | String[] |
| Posición: | Named |
| Valor predeterminado: | None |
| Requerido: | True |
| Aceptar entrada de canalización: | True |
| Aceptar caracteres comodín: | False |
-TimestampServer
Usa el servidor de marca de tiempo especificado para agregar una marca de tiempo a la firma. Escriba la dirección URL del servidor de marca de tiempo como una cadena. La URL debe empezar por http://.
La marca de tiempo representa la hora exacta en que se agregó el certificado al archivo. Una marca de tiempo impide que se produzca un error en el script si el certificado expira porque los usuarios y programas pueden comprobar que el certificado era válido en el momento de la firma.
Nota
PowerShell 7.3 ha agregado compatibilidad con https:// direcciones URL con este parámetro. Sin embargo, la API subyacente no admite HTTPS. Si usa HTTPS, el comando devuelve un error, pero el archivo se firma sin una marca de tiempo. Para obtener más información, vea problema n.º 25130.
| Tipo: | String |
| Posición: | Named |
| Valor predeterminado: | None |
| Requerido: | False |
| Aceptar entrada de canalización: | False |
| Aceptar caracteres comodín: | False |
-WhatIf
Muestra lo que sucedería si el cmdlet se ejecuta. El cmdlet no se ejecuta.
| Tipo: | SwitchParameter |
| Alias: | wi |
| Posición: | Named |
| Valor predeterminado: | False |
| Requerido: | False |
| Aceptar entrada de canalización: | False |
| Aceptar caracteres comodín: | False |
Entradas
Puede canalizar una cadena que contenga la ruta de acceso del archivo a este cmdlet.
Salidas
Este cmdlet devuelve un objeto Signature que representa el valor establecido.
Notas
Este cmdlet solo está disponible en plataformas Windows.
