Passwörter in PowerShell: einfach & sicher mit Zertifikaten

Welcher Admin hat sich nicht mindestens einmal die Frage gestellt, wie er seine Passwörter sicher abspeichern kann, um sie dann möglichst ohne viel Aufwand in seinem PowerShell Script verwenden zu können?
Und am besten soll das Script dann auch auf verschiedenen Systemen oder von allen Teammitgliedern ausgeführt werden können.
Ich habe viele verschiedene Methoden ausprobiert und war mit keiner richtig glücklich.

Bei der Variante mit

$SicheresPasswort = Read-Host -AsSecureString
$VerschluesseltesPassword = ConvertFrom-SecureString -SecureString $SicheresPasswort
Set-Content -Path "password.txt" -Value $VerschluesseltesPassword

hast Du zwar das Passwort sicher auf Deiner Festplatte abgespeichert, Du kannst aber dann das Passwort nur mit DEM Benutzer und auf DEM System, wo es erzeugt wurde, wieder entschlüsseln – für Teamarbeit gänzlich ungeeignet.

Auch das Verschlüsseln mit einem Key (wie z.B. die Seriennummer der Festplatte oder ähnlichen) ist ungünstig: entweder Du musst den Schlüssel wieder irgendwo hinterlegen werden oder Du kannst das Passwort wiederum nur auf dem System entschlüsseln, wo Du es erzeugt hast.

Auf die Lösung kam ich dann beim Lesen von Dr. Tobias Weltner’s Buch “PowerShell 5: Windows-Automation für Einsteiger und Profis” im Abschnitt “Scripte digital signieren”: diese Technik lässt sich auch wunderbar für Passwörter verwenden.

Zertifikat erstellen

Seit Windows 10 / Server 2016 verfügt das Cmdlet New-SelfSignedCertificate über erweiterte Optionen, über die z.B. auch die Gültigkeitsdauer angepasst werden kann.

Erstellen wir also zuerst ein selbstsigniertes Zertifikat:

#requires -Version 5

function New-SelfSignedCertificateForPasswords {
  <#
.SYNOPSIS
    Selbst signiertes Zertifikat erstellen und exportieren
.DESCRIPTION
    erstellt ein selbstsigniertes Zertifikat und exportiert den öffentlichen / privaten Teil in den angegebenen Pfad
.PARAMETER Password
    Passwort, mit dem der private Teil geschützt wird
.PARAMETER FriendlyName
    Anzeigename
.PARAMETER CN
    Common Name, allgemeiner Name
    wird als Dateiname verwendet
.PARAMETER OutputPath
    Zielverzeichnis, in dem die Dateien abgespeichert werden
.PARAMETER ValidUntil
    Gültigkeitsdauer (Standard = 1 Jahr)
.EXAMPLE
    New-SelfSignedCertificateForPasswords
    Erstellt ein selbstsigniertes Zertifikat im Ordner 'C:\Temp\MeinZertifikat', welches 5 Jahre gültig ist
.NOTES
    Die Datei *.cer enthält den öffentlichen Teil des Zertifikats. Diese wird zur Verschlüsselung
        der Passwörter verwendet
    Die Datei *.pfx enthält den privaten Teil des Zertifikats. Diese muss auf jedem System,
      welches die verschlüsselten Passwörter nutzen will, installiert werden
#>

    param (
        [SecureString][Parameter(Mandatory = $true)] $Password,
        $FriendlyName = 'Mein eigenes Zertifikat',
        $CN = 'MeinEigenesZertifikat',
        $OutputPath = 'C:\Temp\MeinZertifikat',
        $ValidUntil = (Get-Date).AddYears(5)
    )
  
    # Zertifikat im UserStore ablegen
    $cert = New-SelfSignedCertificate -KeyUsage DataEncipherment, KeyEncipherment -KeySpec KeyExchange -FriendlyName $FriendlyName -Subject "CN=$CN" -KeyExportPolicy ExportableEncrypted -CertStoreLocation Cert:\CurrentUser\My -NotAfter $ValidUntil -TextExtension @('2.5.29.37={text}1.3.6.1.4.1.311.80.1')

    # öffentlichen Teil als cert-Datei exportieren
    if (!(Test-Path -Path $OutputPath)) {
      $null = New-Item -Path $OutputPath -ItemType Directory -Force
    }
    $pathCer = Join-Path -Path $OutputPath -ChildPath "$CN.cer"
    $null = Export-Certificate -Type CERT -FilePath $pathCer -Cert $cert -Force

    # privaten Teil als pfx-Datei exportieren
    $pathPfx = Join-Path -Path $OutputPath -ChildPath "$CN.pfx"
    $null = $cert | Export-PfxCertificate -Password $Password -FilePath $pathPfx

    # Zertifikat aus dem Zertifikat-Speicher löschen
    $cert | Remove-Item
    Get-Item -Path Cert:\CurrentUser\CA\$($cert.Thumbprint) | Remove-Item

    # Ergebnis anzeigen
    explorer $OutputPath
}

Als Ergebnis erhalten wir zwei Dateien – den öffentlichen und privaten Teil des Zertifikats:

Zertifikatsdateien

Jetzt kannst Du den privaten Teil des Zertifikats auf dem System (bzw. den Systemen der Kollegen), auf dem Du die Passwörter entschlüsseln möchtest, installieren. Am einfachsten geht das mit einem Doppelklick auf die *.pxf-Datei.
Im Zertifikatimport-Assistent kannst Du alle Einstellungen beibehalten. Nach Eingabe des zuvor gewählten Passworts und Abschluss des Assistenten findest Du das Zertifikat bei den Benutzerzertifikaten: 

Get-ChildItem -Path Cert:\CurrentUser\My | Select Subject, NotAfter

Passwort verschlüsseln

Nun kannst Du das Passwort mit dem öffentlichen Teil des Zertifikats verschlüsseln und abspeichern:

# ---------------------------------------------*
# Text mit öffentlichem Schlüssel verschlüsseln
# ---------------------------------------------*
$geheim = Protect-CmsMessage -Content 'TopSecret123' -To 'C:\Temp\MeinZertifikat\MeinEigenesZertifikat.cer'
$geheim | Set-Content -Path 'C:\Temp\MeinZertifikat\Cred_xxx.txt'

Passwort entschlüsseln

Anschließend kannst Du das Passwort ganz einfach durch Dein Script auslesen und verwenden:
Die PowerShell ist so schlau und erkennt das zur Entschlüsselung notwendige Zertifikat automatisch.
So kannst Du auch mehrere Zertifikate zum Beispiel für unterschiedliche Bereiche und Anforderungen erstellen und diese dann nur an den berechtigten Personenkreis weitergeben.

# ---------------------------------------------*
# Text mit privatem Schlüssel entschlüsseln
# verwendetes Zertifikat ist in verschlüsseltem Text vermerkt
# ---------------------------------------------*
$Password = (Get-Content -Path 'C:\Temp\MeinZertifikat\Cred_xxx.txt') | Unprotect-CmsMessage
Write-Host $Password

Wenn Du nun die verschlüsselten Passwort-Dateien auf einem freigegebenen Laufwerk ablegst, kannst Du bzw. Deine Kollegen von verschiedenen Systemen darauf zugreifen, ohne dass Ihr bei der Ausführung des Scriptes ein Passwort eingeben müsst.
Vorausgesetzt natürlich, der ausführende Benutzer hat das entsprechende Zertifikat vorab installiert.

Print Friendly, PDF & Email