使用 PowerShell 生成自簽署證書

基於 SharePoint 的無應答登入模式改版後必須使用證書，這邊提供一個最簡證書生成方法，直接使用 PowerShell 5.1 內建的函式即可。

不過有以下兩個小缺點

1. 無法匯出空白密碼的證書 pfx 檔案。(有這個需求用 OpenSSL 生成吧)
2. 無法直接生成檔案，必須先存入 Windwos Certificate Store 匯出後再刪除

# 1. 定義変数
$CNName = "PnP_Roks"
$OutPath = "D:\mycertificates"
$Pword = "YourPasswordHere"
$ExpiryYears = 10

# 2. 生成自簽署證書，暫時存儲在當前用戶證書存儲區
if(-not (Test-Path $OutPath)) { mkdir $OutPath }
$cert = New-SelfSignedCertificate -Subject "CN=$CNName" -DnsName $CNName `
  -CertStoreLocation Cert:\CurrentUser\My `
  -NotAfter (Get-Date).AddYears($ExpiryYears).date
$cert

# 3. 將證書導出為 PFX 檔案
$cert |Export-PfxCertificate -FilePath "$OutPath\$CNName.pfx" `
  -Password (ConvertTo-SecureString -String $Pword -Force -AsPlainText)

# 4. 將證書導出為 CER 檔案
$cert |Export-Certificate -FilePath "$OutPath\$CNName.cer"

# 5. 從證書存儲區移除剛生成的證書
$cert | Remove-Item

這樣就生成完畢了。

需要上傳到 "應用程式" 中的只有 cer 證書而已，包含私鑰的 pfx 檔案不可以外洩。

比較理想的辦法是直接在目標伺服器生成證書，然後只匯出 cer 公鑰上傳到伺服器，一定程度避免私鑰產生副本。

環境允許的話甚至可以設置成不可匯出徹底銷毀，沒了再造一個就行。

上傳完畢接下來登入可以參考這篇 身份驗證 |PnP PowerShell

讀取證書檔案

其中如果要讀取 Store 中的 pfx 檔案可以這樣用

# 當前使用者
Get-Item -Path "Cert:\CurrentUser\My\$($cert.Thumbprint)"

# 本機
Get-Item -Path "Cert:\LocalMachine\My\$($cert.Thumbprint)"

對應的管理介面是

• 當前使用者： certmgr.msc
• 本機： certlm.msc