WMF 5.1包括允许签署MOF文档和DSC资源模块(reference)的新功能。然而,这在现实中似乎很难实现 - 或者我让它变得更复杂......
我的场景是Azure中的虚拟机,我想利用Azure自动化用于Pull DSC服务器;但是,我认为这也适用于前提。问题是用于签署MOF配置和/或模块的证书需要在获取和应用配置之前放置在计算机上,否则配置将失败,因为证书不受信任或存在于计算机上。
我尝试使用Azure KeyVault来引导证书(只是公钥,因为这是我对签名工作方式的理解)并且使用Add-AzureRmVMSecret
失败,因为CertificateUrl
参数需要安装公钥/私钥对的完整证书。在理想的世界中,这将是解决方案,但事实并非如此......
在这种情况下,其他想法是将证书上传到blob存储,使用CustomScriptExtension来下载证书并安装到LocalMachine商店,但这也感觉很糟糕,因为理想情况下,该脚本也应该被签名,这让我们回到了同一个地方。
我想另一个想法是首先推送一个只下载和安装证书的配置,但这听起来也不是很好。
最后一个选择是依靠AD GPO或类似的东西来推动证书的首先......但是,老实说,如果可能的话,试图摆脱大部分......
我是不是基于这个?看起来这应该是一个可解决的问题 - 只是寻找至少一种“好”的方式。
谢谢
虽然使用公共证书填充预启动图像非常容易。不可能(我发现)填充私钥。
DSC将需要私钥来解密密码。
人们博客最常见的策略是使用无人参与脚本导入PFX。问题是你必须以纯文本形式保留PFX的密码。也许这在您的环境中是可以的。
另一种选择需要更复杂的设置。使用简单的DSC或GPO自动注册唯一证书。然后让系统通过第一个启动脚本或DSC自定义资源,勾选一个API(如Polaris)并触发一个使用PKITools或其他脚本获取机器所拥有的公共证书的DSC脚本。然后让该API将新的DSC配置(或拉取设置)推送到机器。