システムスクリプト
DigiCert は、DigiCert が管理する後処理スクリプトをいくつか提供しており、これらはシステムスクリプトと呼ばれます。システム後処理スクリプトは署名されているため、不正な変更や悪意のある変更から保護するために、真正性と完全性を検証できます。
DigiCert® Trust Lifecycle Manager では、[Discovery & automation tools > Scripts > System scripts]ページからすべてのシステムスクリプトを表示でき、ここからこれらのスクリプトの閲覧、ダウンロード、参照が可能です。DigiCert が管理するシステムスクリプトはすべて編集不可です。
警告
デバイス管理にサードパーティのプラットフォームを使用する場合、Windows システムの後処理スクリプトが正常に動作できるようにするために、クライアントコンピュータ上の PowerShell 実行ポリシーが RemoteSigned に設定されていることを確認します。実行ポリシーの詳細については、『Microsoft PowerShell のドキュメント』を参照してください。
DigiCert 管理システムの後処理スクリプト
Script name | OS* | Script description | Supported certificate templates |
|---|---|---|---|
Microsoft Outlook Configuration To use this script, the 64-bit version of Microsoft Outlook 2016 or later must be installed. Both 32-bit and 64-bit versions of Outlook are supported. However, using the 32-bit version of Outlook has certain limitations. For more information, see Microsoft Outlook Configuration 重要New Outlook for Windows is not supported for post-processing scripts. | Windows | Configure Outlook's security profile to use the certificate for signing and encrypting. |
|
Windows | Publish the certificate to an Active Directory. |
| |
macOS | Publish the certificate to an Active Directory. Requires DigiCert Trust Assistant V1.2.6 or later to run this script. |
| |
Windows | This script configures Adobe Acrobat Reader to use the Adobe individual certificate for document signing. | Adobe Individual in Organization (via CertCentral) | |
*For specific version of the OS, refer to Prerequisites. | |||
システムスクリプトの署名を検証する
DigiCert® Trust Lifecycle Manager から署名付きシステムスクリプトをダウンロードした後、スクリプトの署名を手動で検証することが可能です。
注記
署名の検証は任意の手順であり、飛ばしても差し支えありません。
Windows PowerShell スクリプトの検証
署名付き PowerShell スクリプトを検証するには、次の PowerShell コマンドを使用します。
PS> Get-AuthenticodeSignature -FilePath <path-to-script-file>
たとえば、Outlook.ps1 の有効な署名は次のようになります。
PS> Get-AuthenticodeSignature -FilePath .\Outlook.ps1 SignerCertificate Status Path ----------------------------------------------------------------------------- D05A55D54AAA0653D148B231141AC268C416E1D4 Valid Outlook.ps1
macOS シェルスクリプトの検証
署名付きシェルスクリプトを検証するには、macOS ターミナルで次のコマンドを実行します:
security cms -D -i <path-to-script-file>
たとえば、無効なスクリプトは次のようになります。
$ security cms -D -i invalid.sh security: failed to add data to decoder: UNKNOWN (-8183(d) security: problem decoding
一方、有効な署名付きスクリプトは次のようになります。
$ security cms -D -i ADPublisher.sh.p7m IyEvYmluL2Jhc2gKCiMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjCiMgQURQdWJsaXNoZXJfTWFjLnNoCiMgCiMgVGhpcyBzY3JpcHQgcHVibGlzaGVzIGEgY2VydGlmaWNhdGUgdG8gQWN0aXZlIERpcmVjdG9yeSB1c2luZyBMREFQLgojIEl0...<snip>...
* 出力をパイプして base64 エンコードをデコードし、スクリプトを取得します。
security cms -D -i <path-to-script-file> | base64 -d、例:
$ security cms -D -i ADPublisher.sh.p7m | base64 -d #!/bin/bash ############################################################################# # ADPublisher_Mac.sh # # This script publishes a certificate to Active Directory using LDAP. ...<snip>...
コード署名証明書と CA チェーン
システムスクリプトの署名に使用される PEM 形式でエンコードされたコード署名、中間 CA、ルート CA の各証明書をダウンロードするには、次のリンクを使用します。
TSA(タイムスタンプ機関)署名証明書と CA チェーン
TSA(タイムスタンプ機関)署名証明書と中間ルート CA 証明書をダウンロードするには、次のリンクを使用します。