Skip to main content

システムスクリプト

DigiCert は、DigiCert が管理する後処理スクリプトをいくつか提供しており、これらはシステムスクリプトと呼ばれます。システム後処理スクリプトは署名されているため、不正な変更や悪意のある変更から保護するために、真正性と完全性を検証できます。

DigiCert​​®​​ Trust Lifecycle Manager では、[Discovery & automation tools > Scripts > System scripts]ページからすべてのシステムスクリプトを表示でき、ここからこれらのスクリプトの閲覧、ダウンロード、参照が可能です。DigiCert が管理するシステムスクリプトはすべて編集不可です。

警告

デバイス管理にサードパーティのプラットフォームを使用する場合、Windows システムの後処理スクリプトが正常に動作できるようにするために、クライアントコンピュータ上の PowerShell 実行ポリシーが RemoteSigned に設定されていることを確認します。実行ポリシーの詳細については、『Microsoft PowerShell のドキュメント』を参照してください。

DigiCert 管理システムの後処理スクリプト

Script name

OS*

Script description

Supported certificate templates

Microsoft Outlook Configuration

To use this script, the 64-bit version of Microsoft Outlook 2016 or later must be installed.

Both 32-bit and 64-bit versions of Outlook are supported. However, using the 32-bit version of Outlook has certain limitations. For more information, see Microsoft Outlook Configuration

重要

New Outlook for Windows is not supported for post-processing scripts.

Windows

Configure Outlook's security profile to use the certificate for signing and encrypting.

  • Private S/MIME Secure Email

  • Public S/MIME Secure Email (via CertCentral)

Active Directory Publisher - Windows

Windows

Publish the certificate to an Active Directory.

  • Private S/MIME Secure Email

  • Public S/MIME Secure Email (via CertCentral)

Active Directory Publisher - macOS

macOS

Publish the certificate to an Active Directory.

Requires DigiCert Trust Assistant V1.2.6 or later to run this script.

  • Private S/MIME Secure Email

  • Public S/MIME Secure Email (via CertCentral)

Adobe Acrobat Document Signing Configuration

Windows

This script configures Adobe Acrobat Reader to use the Adobe individual certificate for document signing.

  • Adobe Individual in Organization (via CertCentral)

  • Adobe CDS

*For specific version of the OS, refer to Prerequisites.

システムスクリプトの署名を検証する

DigiCert® Trust Lifecycle Manager から署名付きシステムスクリプトをダウンロードした後、スクリプトの署名を手動で検証することが可能です。

注記

署名の検証は任意の手順であり、飛ばしても差し支えありません。

Windows PowerShell スクリプトの検証

署名付き PowerShell スクリプトを検証するには、次の PowerShell コマンドを使用します。

PS> Get-AuthenticodeSignature -FilePath <path-to-script-file>

たとえば、Outlook.ps1 の有効な署名は次のようになります。

PS> Get-AuthenticodeSignature -FilePath .\Outlook.ps1


SignerCertificate                          Status                        Path                                   
-----------------------------------------------------------------------------                   
D05A55D54AAA0653D148B231141AC268C416E1D4   Valid                    Outlook.ps1

macOS シェルスクリプトの検証

署名付きシェルスクリプトを検証するには、macOS ターミナルで次のコマンドを実行します:

security cms -D -i <path-to-script-file>

たとえば、無効なスクリプトは次のようになります。

$ security cms -D -i invalid.sh
security: failed to add data to decoder: UNKNOWN (-8183(d)
security: problem decoding

一方、有効な署名付きスクリプトは次のようになります。

$ security cms -D -i ADPublisher.sh.p7m
IyEvYmluL2Jhc2gKCiMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjCiMgQURQdWJsaXNoZXJfTWFjLnNoCiMgCiMgVGhpcyBzY3JpcHQgcHVibGlzaGVzIGEgY2VydGlmaWNhdGUgdG8gQWN0aXZlIERpcmVjdG9yeSB1c2luZyBMREFQLgojIEl0...<snip>...

* 出力をパイプして base64 エンコードをデコードし、スクリプトを取得します。

security cms -D -i <path-to-script-file> | base64 -d、例:

$ security cms -D -i ADPublisher.sh.p7m | base64 -d
#!/bin/bash

#############################################################################
# ADPublisher_Mac.sh
#
# This script publishes a certificate to Active Directory using LDAP.
...<snip>...

コード署名証明書と CA チェーン

システムスクリプトの署名に使用される PEM 形式でエンコードされたコード署名、中間 CA、ルート CA の各証明書をダウンロードするには、次のリンクを使用します。

TSA(タイムスタンプ機関)署名証明書と CA チェーン

TSA(タイムスタンプ機関)署名証明書と中間ルート CA 証明書をダウンロードするには、次のリンクを使用します。