powershell - 在没有外部工具的情况下自动将 x509 证书从 Server 2008 R2 导出到 p7b 文件？

Question

我集中管理域控制器，但站点管理员在本地管理自己的数字发送器。我可以通过向导轻松地将带有整个链的 X509 证书（不需要私钥）从 Windows Server 2008 R2 域控制器导出到 p7b 文件：

~~~~~~~~~~~~~~~~~

...5。证书导出向导打开。点击下一步。

6. 在“导出文件格式”对话框中，执行以下操作：

   一个。选择加密消息语法标准 – PKCS #7 证书 (.P7B)。

   湾。如果可能，选中在证书路径中包含所有证书。

   C。点击下一步。

7. 在“要导出的文件”对话框中，单击“浏览”。

8. 在“另存为”对话框中，执行以下操作：

   一个。在“文件名”框中，键入 ciroots.p7b。

   湾。在保存类型框中，选择 PKCS #7 证书 (*.p7b)。

   C。单击保存。

9. 在“要导出的文件”对话框中，单击“下一步”。

10. 在完成证书导出向导页面上，单击完成。

~~~~~~~~~~~~~~~~~

它工作得很好。生成的文件可以很好地导入数字发送器进行身份验证。如果站点管理员尚未导入它们，则它使站点管理员可以访问链中的其他证书。它不需要包含私钥，因为没有它也可以正常工作。

麻烦的是，我需要手动执行此操作，实际上是数十次，每个业务站点一次，因为每个站点都有自己的域控制器，每个域控制器都有自己的证书。必须有一种方法可以自动执行此证书导出（PowerShell w/.NET、certutil.exe 等）。也许使用 System.Security.Cryptography.X509Certificates X509IncludeOption 和 WholeChain 的东西，但我无法让它工作：

$Cert = (dir Cert:\localmachine\my)[0]

# 带有 .p7b 文件扩展名的 PKCS7 证书导出。

$CertCollection = 新对象

System.Security.Cryptography.X509Certificates.X509Certificate2Collection

$证书 | %{[void]$CertCollection.Add($_)}

$Exported_pkcs7 = $CertCollection.Export('Pkcs7')

$out_FileName = $ENV:COMPUTERNAME + ".p7b"

$My_Export_Path = 'd:\CertFiles\' + $out_FileName

Set-Content -path $My_Export_Path -Value $Exported_pkcs7 -encoding Byte

使用此代码，我只获得证书，而不是其链中的其余证书。我不需要整个脚本，只需要复制导出 w/chain 的部分，我已经可以通过 GUI 手动完成。

Answer 1

您需要构建证书链以获取链证书并将它们添加到集合中：

function Export-Certificate {
[CmdletBinding()]
    param(
        [Parameter(Mandatory = $true)]
        [Security.Cryptography.X509Certificates.X509Certificate2]$Certificate,
        [Parameter(Mandatory = $true)]
        [IO.FileInfo]$OutputFile,
        [switch]$IncludeAllCerts
    )
    $certs = New-Object Security.Cryptography.X509Certificates.X509Certificate2Collection
    if ($IncludeAllCerts) {
        $chain = New-Object Security.Cryptography.X509Certificates.X509Chain
        $chain.ChainPolicy.RevocationMode = "NoCheck"
        [void]$chain.Build($Certificate)
        $chain.ChainElements | ForEach-Object {[void]$certs.Add($_.Certificate)}
        $chain.Reset()
    } else {
        [void]$certs.Add($Certificate)
    }
    Set-Content -Path $OutputFile.FullName -Value $certs.Export("pkcs7") -Encoding Byte
}

Answer 2

这篇文章已经发布了一段时间，但它有帮助。我稍微改进了脚本以允许流水线操作并增加了帮助。

function Export-CertificateChain {
<#
.SYNOPSIS
    Create p7b certificate container.
.DESCRIPTION
    Create p7b certificate container.
.EXAMPLE
    PS C:\> ls "C:\PKI Trust Chain\Certificates" -File -Recurse | Get-PfxCertificate | where issuer -match 'Internal|External' | Export-CertificateChain -OutputFile C:\Temp\PKITrustChain.p7b
    Loop thru the folder "C:\PKI Trust Chain\Certificates" (assuming it contains only certificates), load the certficiates and add all certificates where issuer matches into the p7b file. 
.EXAMPLE
    PS C:\> ls "cert:\localMachine\" -Recurse | where issuer -match 'Internal|External' | Export-CertificateChain -OutputFile C:\Temp\PKITrustChain.p7b
    Loop thru the certificate stroe where issuer matches and adds them into the p7b file. 
.INPUTS
    [Security.Cryptography.X509Certificates.X509Certificate2], [IO.FileInfo]
.OUTPUTS
    None.
.NOTES
Author: Patrick Sczepanski  (Vadims Podans)
Original script found: https://stackoverflow.com/questions/33512409/automate-export-x509-certificate-w-chain-from-server-2008-r2-to-a-p7b-file-witho
Version: 20200505
#>
    [CmdletBinding()]
    param(
        # certificate to add to p7b file
        [Parameter(Mandatory = $true, ValueFromPipeline=$true)]
        [Security.Cryptography.X509Certificates.X509Certificate2]$Certificate,
        # path an name of the p7b container
        [Parameter(Mandatory = $true)]
        [IO.FileInfo]$OutputFile,
        # automatically add the trust chain for each certificate. Requires the trust chain being available.
        [switch]$IncludeAllCerts
    )
    Begin{
        $certs = New-Object Security.Cryptography.X509Certificates.X509Certificate2Collection
    }
    Process {
        if ($IncludeAllCerts) {
            $chain = New-Object Security.Cryptography.X509Certificates.X509Chain
            $chain.ChainPolicy.RevocationMode = "NoCheck"
            [void]$chain.Build($Certificate)
            $chain.ChainElements | ForEach-Object {[void]$certs.Add($_.Certificate)}
            $chain.Reset()
        } else {
            [void]$certs.Add($Certificate)
        }
    }
    End {
        Set-Content -Path $OutputFile.FullName -Value $certs.Export("pkcs7") -Encoding Byte
    }
}