কম্পিউটার

কিভাবে একটি কোড সাইনিং সার্টিফিকেট সহ একটি পাওয়ারশেল স্ক্রিপ্ট (PS1) স্বাক্ষর করবেন?

একটি স্ক্রিপ্ট বা একটি ডিজিটাল স্বাক্ষর সহ একটি এক্সিকিউটেবল ব্যবহারকারীকে নিশ্চিত করতে দেয় যে একটি ফাইল আসল এবং এর কোড তৃতীয় পক্ষ দ্বারা পরিবর্তন করা হয়নি। ডিজিটাল সার্টিফিকেট ব্যবহার করে *.ps1 স্ক্রিপ্ট ফাইলের কোড সাইন করার জন্য PowerShell-এর বর্তমান সংস্করণে বিল্ট-ইন টুল রয়েছে।

আপনি একটি বিশেষ ধরনের শংসাপত্র – কোড সাইনিং ব্যবহার করে একটি PowerShell স্ক্রিপ্টে স্বাক্ষর করতে পারেন . এই শংসাপত্রটি একটি বহিরাগত বাণিজ্যিক শংসাপত্র কর্তৃপক্ষ (AC), একটি অভ্যন্তরীণ এন্টারপ্রাইজ CA থেকে প্রাপ্ত করা যেতে পারে বা আপনি একটি স্ব-স্বাক্ষরিত শংসাপত্র ব্যবহার করতে পারেন৷

ধরুন, আপনার ডোমেনে PKI পরিষেবাগুলি (অ্যাক্টিভ ডিরেক্টরি সার্টিফিকেট পরিষেবা) স্থাপন করা হয়েছে। আসুন https://CA-server-name/certsrv এ গিয়ে একটি নতুন শংসাপত্রের অনুরোধ করি এবং কোড সাইনিং সহ একটি নতুন শংসাপত্রের অনুরোধ করি টেমপ্লেট (এই টেমপ্লেটটি প্রথমে সার্টিফিকেশন অথরিটি কনসোলে সক্রিয় করা আবশ্যক)।

কিভাবে একটি কোড সাইনিং সার্টিফিকেট সহ একটি পাওয়ারশেল স্ক্রিপ্ট (PS1) স্বাক্ষর করবেন?

এছাড়াও, ব্যবহারকারী mmc স্ন্যাপ-ইন শংসাপত্র -> আমার অ্যাকাউন্ট -> ব্যক্তিগত -> সমস্ত কাজ -> একটি নতুন শংসাপত্রের অনুরোধ থেকে PowerShell স্ক্রিপ্টগুলিতে স্বাক্ষর করার জন্য একটি শংসাপত্রের অনুরোধ করতে পারেন৷

কিভাবে একটি কোড সাইনিং সার্টিফিকেট সহ একটি পাওয়ারশেল স্ক্রিপ্ট (PS1) স্বাক্ষর করবেন?

আপনি যদি ম্যানুয়ালি একটি শংসাপত্রের অনুরোধ করেন, তাহলে আপনার কাছে একটি .cer সহ একটি x509 সার্টিফিকেট ফাইল থাকা উচিত এক্সটেনশন এই শংসাপত্রটি আপনার কম্পিউটারের স্থানীয় শংসাপত্র স্টোরে ইনস্টল করা আবশ্যক৷

কম্পিউটারের বিশ্বস্ত রুট শংসাপত্রে শংসাপত্র যোগ করতে আপনি নিম্নলিখিত PowerShell কমান্ডগুলি ব্যবহার করতে পারেন:

$certFile =এক্সপোর্ট-সার্টিফিকেট -Cert $cert -FilePath C:\ps\certname.cer
Import-Certificate -CertStoreLocation Cert:\LocalMachine\AuthRoot -FilePath $certFile.FullName

আপনি যদি একটি স্ব-স্বাক্ষরিত শংসাপত্র ব্যবহার করতে চান, DNS নামের testPC1 সহ একটি CodeSigning শংসাপত্র তৈরি করতে New-SelfSigned Certificate cmdlet ব্যবহার করুন:

New-SelfSigned Certificate -DnsName testPC1 -Type CodeSigning
$cert =New-SelfSigned Certificate -Subject "Cert for Code Signing" -Type CodeSigningCert -DnsName test1 -CertStoreLocation:\Location>

শংসাপত্র তৈরি হওয়ার পরে, সার্টিফিকেট ম্যানেজার কনসোল (certmgr.msc ব্যবহার করে এটিকে ইন্টারমিডিয়েট কন্টেইনার থেকে বিশ্বস্ত রুটে নিয়ে যান। )।

আপনি শংসাপত্র পাওয়ার পরে, আপনি শুধুমাত্র স্বাক্ষরিত স্ক্রিপ্ট চালানোর অনুমতি দেওয়ার জন্য PowerShell স্ক্রিপ্ট এক্সিকিউশন নীতি কনফিগার করতে পারেন। ডিফল্টরূপে, Windows 10/ Windows Server 2016-এ PowerShell এক্সিকিউশন নীতি সীমাবদ্ধ সেট করা আছে। (যেকোনো পাওয়ারশেল স্ক্রিপ্টের এক্সিকিউশন ব্লক করে)।

File C:\ps\script.ps1 cannot be loaded because running scripts is disabled on this system.

শুধুমাত্র স্বাক্ষরিত PS1 স্ক্রিপ্টগুলি চালানোর অনুমতি দেওয়ার জন্য, আপনি PowerShell Eecution পলিসিকে AllSigned বা RemoteSigned-এ পরিবর্তন করতে পারেন (একমাত্র পার্থক্যের সাথে যে RemoteSigned শুধুমাত্র ইন্টারনেট থেকে ডাউনলোড করা স্ক্রিপ্টগুলির জন্য একটি স্বাক্ষর প্রয়োজন):

Set-ExecutionPolicy AllSigned –Force

এই মোডে, স্বাক্ষরবিহীন PowerShell স্ক্রিপ্ট চালানোর সময়, একটি ত্রুটি প্রদর্শিত হয়:

File C:\script.ps1 cannot be loaded. The file script.ps1 is not digitally signed. You cannot run this script on the current system.
এছাড়াও আপনি স্ক্রিপ্ট এক্সিকিউশন চালু করুন ব্যবহার করে স্বাক্ষরিত পাওয়ারশেল স্ক্রিপ্টগুলি চালানোর অনুমতি দিতে পারেন কম্পিউটার কনফিগারেশন -> নীতি -> প্রশাসনিক টেমপ্লেট -> উইন্ডোজ উপাদান -> উইন্ডোজ পাওয়ারশেলের অধীনে গ্রুপ নীতি প্যারামিটার। প্যারামিটার মান পরিবর্তন করুন শুধু স্বাক্ষরিত স্ক্রিপ্টগুলিকে অনুমতি দিন৷ .

এখন PowerShell স্ক্রিপ্ট ফাইল সাইন করার দিকে এগিয়ে যাওয়া যাক। প্রথমত, আপনাকে বর্তমান ব্যবহারকারীর স্থানীয় শংসাপত্রের দোকান থেকে CodeSign শংসাপত্রটি পেতে হবে। প্রথমে, আসুন কোড সাইন করতে ব্যবহার করা যেতে পারে এমন সমস্ত শংসাপত্রের তালিকা করা যাক:

Get-ChildItem cert:\CurrentUser\my –CodeSigningCert

আমাদের ক্ষেত্রে, আমরা ব্যক্তিগত ব্যবহারকারী শংসাপত্র স্টোর থেকে প্রথম শংসাপত্র নেব এবং $cert ভেরিয়েবলে সংরক্ষণ করব:

$cert =(Get-ChildItem cert:\CurrentUser\my –CodeSigningCert)[0]

আপনি যদি আপনার শংসাপত্রটি বিশ্বস্ত রুট শংসাপত্রের দোকানে স্থানান্তরিত করে থাকেন তবে নিম্নলিখিত কমান্ডটি ব্যবহার করুন:

$cert =(Get-ChildItem Cert:\LocalMachine\AuthRoot –CodeSigningCert)[0]

তারপর আপনি আপনার PowerShell স্ক্রিপ্টের সাথে PS1 ফাইলে স্বাক্ষর করতে এই শংসাপত্রটি ব্যবহার করতে পারেন:

Set-AuthenticodeSignature -Certificate $cert -FilePath C:\PS\testscript.ps1

আপনি নিম্নলিখিত কমান্ডটিও ব্যবহার করতে পারেন (এই ক্ষেত্রে, আমরা DnsName দ্বারা আগে তৈরি স্ব-স্বাক্ষরিত শংসাপত্র নির্বাচন করি):

Set-AuthenticodeSignature C:\PS\test_script.ps1 @(gci Cert:\LocalMachine\AuthRoot -DnsName testPC1 -codesigning)[0]

ইঙ্গিত . Set-AuthenticodeSignature cmdlet-এর একটি বিশেষ টাইমস্ট্যাম্প সার্ভার প্যারামিটার রয়েছে যা পরিষেবার টাইমস্ট্যাম্পের URL নির্দিষ্ট করে৷ যদি এই প্যারামিটারটি ফাঁকা রাখা হয়, তাহলে শংসাপত্রের মেয়াদ শেষ হওয়ার পরে PS স্ক্রিপ্টটি চলা বন্ধ হয়ে যাবে। উদাহরণস্বরূপ, আপনি নিম্নরূপ একটি টাইমস্ট্যাম্প সার্ভার সেট করতে পারেন:-TimestampServer "https://timestamp.verisign.com/scripts/timstamp.dll"

আপনি যদি স্ক্রিপ্টে স্বাক্ষর করার জন্য একটি সাধারণ SSL/TLS শংসাপত্র ব্যবহার করার চেষ্টা করেন, একটি ত্রুটি প্রদর্শিত হবে:

Set-AuthenticodeSignature: Cannot sign code. The specified certificate is not suitable for code signing.

আপনি ফোল্ডারে একবারে সমস্ত PowerShell স্ক্রিপ্ট ফাইল সাইন ইন করতে পারেন:

Get-ChildItem c:\ps\*.ps1| সেট-প্রমাণিক কোড স্বাক্ষর - শংসাপত্র $Cert

এখন আপনি PowerShell স্ক্রিপ্ট ফাইলটি সঠিকভাবে স্বাক্ষর করা হয়েছে কিনা তা পরীক্ষা করতে পারেন। আপনি Get-AuthenticodeSignature cmdlet ব্যবহার করতে পারেন বা PS1 ফাইলের বৈশিষ্ট্য খুলতে পারেন এবং ডিজিটাল স্বাক্ষরে যেতে পারেন ট্যাব।

Get-AuthenticodeSignature c:\ps\test_script.ps1 | ft -AutoSize

কিভাবে একটি কোড সাইনিং সার্টিফিকেট সহ একটি পাওয়ারশেল স্ক্রিপ্ট (PS1) স্বাক্ষর করবেন?

যদি একটি অজানা ত্রুটি Set-AuthenticodeSignature কমান্ডটি কার্যকর করার সময় সতর্কতা উপস্থিত হয়, তারপর এই শংসাপত্রটি বিশ্বস্ত নয়, কারণ ব্যবহারকারীর ব্যক্তিগত শংসাপত্রের দোকানে অবস্থিত৷

কিভাবে একটি কোড সাইনিং সার্টিফিকেট সহ একটি পাওয়ারশেল স্ক্রিপ্ট (PS1) স্বাক্ষর করবেন?

আপনাকে এটিকে বিশ্বস্ত রুট শংসাপত্রে স্থানান্তর করতে হবে (সন্দেহজনক শংসাপত্রের জন্য পর্যায়ক্রমে উইন্ডোজ শংসাপত্র স্টোর চেক করতে এবং বিশ্বস্ত রুট শংসাপত্রের তালিকা আপডেট করতে ভুলবেন না):

মুভ-আইটেম -পথ $cert.PSPath -গন্তব্য "Cert:\LocalMachine\Root"

এখন একটি PS1 ফাইলের স্বাক্ষর যাচাই করার সময়, বৈধ স্থিতি ফেরত দেওয়া উচিত৷

কিভাবে একটি কোড সাইনিং সার্টিফিকেট সহ একটি পাওয়ারশেল স্ক্রিপ্ট (PS1) স্বাক্ষর করবেন?

একটি PowerShell স্ক্রিপ্ট ফাইলে স্বাক্ষর করার সময়, Set-AuthenticodeSignature cmdlet PS1 পাঠ্য ফাইলের শেষে একটি ডিজিটাল স্বাক্ষর ব্লক যোগ করে:

# SIG # Begin signature block
...........
...........
# SIG # End signature block

কিভাবে একটি কোড সাইনিং সার্টিফিকেট সহ একটি পাওয়ারশেল স্ক্রিপ্ট (PS1) স্বাক্ষর করবেন?

স্বাক্ষর ব্লকে স্ক্রিপ্টের হ্যাশ থাকে, যা ব্যক্তিগত কী ব্যবহার করে এনক্রিপ্ট করা হয়।

আপনি যখন প্রথমবার স্ক্রিপ্টটি চালানোর চেষ্টা করবেন, একটি সতর্কতা প্রদর্শিত হবে:

Do you want to run software from this untrusted publisher?
File C:\PS\script.ps1 is published by CN=testPC1 and is not trusted on your system. Only run scripts from trusted publishers.

আপনি যদি [A] সর্বদা স্ক্রিপ্টের প্রথম রানে চালান নির্বাচন করেন , পরের বার যখন আপনি স্ক্রিপ্টটি চালাবেন, এই শংসাপত্রটি ব্যবহার করে স্বাক্ষরিত হবেন, তখন একটি সতর্কতা আর প্রদর্শিত হবে না৷

কিভাবে একটি কোড সাইনিং সার্টিফিকেট সহ একটি পাওয়ারশেল স্ক্রিপ্ট (PS1) স্বাক্ষর করবেন?

এই সতর্কতাটি উপস্থিত থেকে রোধ করতে, আপনাকে বিশ্বস্ত প্রকাশকদের কাছেও শংসাপত্রটি অনুলিপি করতে হবে শংসাপত্র কর্তৃপক্ষ। বিশ্বস্ত প্রকাশক -> শংসাপত্রে শংসাপত্রটি অনুলিপি করতে শংসাপত্র কনসোলে কপি-পেস্ট অপারেশনটি ব্যবহার করুন৷

কিভাবে একটি কোড সাইনিং সার্টিফিকেট সহ একটি পাওয়ারশেল স্ক্রিপ্ট (PS1) স্বাক্ষর করবেন?

স্বাক্ষরিত PowerShell স্ক্রিপ্ট এখন অবিশ্বস্ত প্রকাশক বিজ্ঞপ্তি প্রদর্শন ছাড়াই চলবে৷

টিপ . CA রুট শংসাপত্র এবং স্ক্রিপ্ট স্বাক্ষর করার জন্য ব্যবহৃত শংসাপত্রকে বিশ্বাস করতে হবে (অন্যথায়, স্ক্রিপ্টটি চলবে না)। আপনি GPO ব্যবহার করে ডোমেন কম্পিউটারে কেন্দ্রীয়ভাবে সার্টিফিকেট স্থাপন করতে পারেন। সার্টিফিকেটগুলিকে GPO-এর নিম্নলিখিত পাবলিক কী বিভাগে স্থাপন করতে হবে:কম্পিউটার কনফিগারেশন -> নীতি -> উইন্ডোজ সেটিংস -> নিরাপত্তা সেটিংস -> সর্বজনীন কী নীতি -> বিশ্বস্ত রুট সার্টিফিকেশন কর্তৃপক্ষ এবং বিশ্বস্ত প্রকাশকরা .

যদি রুট সার্টিফিকেট অবিশ্বস্ত হয়, তাহলে আপনি যখন PowerShell স্ক্রিপ্ট চালাবেন, একটি ত্রুটি দেখা যাবে:

A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.

আপনি স্বাক্ষরিত PowerShell স্ক্রিপ্ট ফাইলের কোড পরিবর্তন করলে কি হবে? স্ক্রিপ্টের বিষয়বস্তু পরিবর্তন করা হয়েছে এই বিজ্ঞপ্তির মাধ্যমে এটি চালানোর প্রচেষ্টা ব্লক করা হবে।

File xx.ps1 cannot be loaded. The contents of file xx.ps1 might  have been changed by an unauthorized user or process, because the hash of the file does not match the hash stored in the digital signature. The script cannot run on the specified system.

কিভাবে একটি কোড সাইনিং সার্টিফিকেট সহ একটি পাওয়ারশেল স্ক্রিপ্ট (PS1) স্বাক্ষর করবেন?

Get-AuthenticodeSignature cmdlet ব্যবহার করে স্ক্রিপ্টের স্বাক্ষর যাচাই করার চেষ্টা করুন। যদি গণনা করা হ্যাশ স্বাক্ষরের হ্যাশের সাথে মেলে না, তাহলে বার্তা HashMismatch প্রদর্শিত হয়৷

কিভাবে একটি কোড সাইনিং সার্টিফিকেট সহ একটি পাওয়ারশেল স্ক্রিপ্ট (PS1) স্বাক্ষর করবেন?

সুতরাং, স্বাক্ষরিত PS1 স্ক্রিপ্টের কোডের যেকোনো পরিবর্তনের জন্য এটি পুনরায় স্বাক্ষর করার প্রয়োজন হবে৷


  1. যেভাবে কোড ডকুমেন্টেশন অফলাইনে দেখতে হয়

  2. কিভাবে GIMP এর সাথে একটি নথিতে স্বাক্ষর করবেন

  3. কীভাবে একটি পাওয়ারশেল স্ক্রিপ্টে বিরাম যুক্ত করবেন (উদাহরণ সহ)

  4. ভিজ্যুয়াল স্টুডিও কোড সহ উইন্ডোজ 10 এবং উইন্ডোজ 11 এ পাওয়ারশেল স্ক্রিপ্ট কীভাবে তৈরি করবেন