about_Signing
업데이트 날짜: 2014년 5월
적용 대상: Windows PowerShell 2.0, Windows PowerShell 3.0, Windows PowerShell 4.0, Windows PowerShell 5.0
항목
about_Signing
간단한 설명
Windows PowerShell® 실행 정책을 준수하도록 스크립트에 서명하는 방법을 설명합니다.
자세한 설명
제한된 실행 정책은 스크립트의 실행을 허용하지 않습니다. AllSigned 및 RemoteSigned 실행 정책은 Windows PowerShell이 디지털 서명이 없는 스크립트를 실행하지 않도록 합니다.
이 항목에서는 실행 정책이 RemoteSigned이더라도 서명되지 않은 선택된 스크립트를 실행하는 방법과 직접 사용하기 위해 스크립트에 설명하는 방법을 설명합니다.
Windows PowerShell 실행 정책에 대한 자세한 내용은 about_Execution_Policy를 참조하세요.
서명된 스크립트의 실행을 허용하려면
컴퓨터에서 처음으로 Windows PowerShell을 시작하는 경우 제한된 실행 정책(기본값)이 적용될 수 있습니다.
제한된 정책은 스크립트의 실행을 허용하지 않습니다.
컴퓨터의 유효 실행 정책을 찾으려면 다음을 입력합니다.
Get-ExecutionPolicy
사용자의 로컬 컴퓨터에서 작성한 서명되지 않은 스크립트 및 다른 사용자의 서명된 스크립트를 실행하려면 관리자 권한으로 실행 옵션을 사용하여 Windows PowerShell을 시작하고 다음 명령을 사용하여 컴퓨터의 실행 정책을 RemoteSigned로 변경합니다.
Set-ExecutionPolicy RemoteSigned
자세한 내용은 Set-ExecutionPolicy cmdlet에 대한 도움말 항목을 참조하세요.
서명되지 않은 스크립트 실행(REMOTESIGNED 실행 정책)
Windows PowerShell 실행 정책이 RemoteSigned인 경우 Windows PowerShell은 전자 메일 및 인스턴트 메시징 프로그램을 통해 받은 서명되지 않은 스크립트를 비롯하여 인터넷에서 다운로드한 서명되지 않은 스크립트를 실행하지 않습니다.
다운로드한 스크립트를 실행하려고 하면 Windows PowerShell은 다음과 같은 오류 메시지를 표시합니다.
The file <file-name> cannot be loaded. The file
<file-name> is not digitally signed. The script
will not execute on the system. Please see "Get-Help
about_Signing" for more details.
스크립트를 실행하기 전에 코드를 검토하여 신뢰할 수 있는지 확인합니다. 스크립트는 실행 프로그램과 동일한 효과를 가져옵니다.
1. 스크립트 파일을 컴퓨터에 저장합니다.
2. 시작을 클릭하고, 내 컴퓨터를 클릭한 후 저장된 스크립트 파일을 찾습니다.
3. 스크립트 파일을 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다.
4. 차단 해제를 클릭합니다.
인터넷에서 다운로드한 스크립트가 디지털로 서명되었으나 해당 게시자를 신뢰한다고 아직 선택하지 않은 경우 Windows PowerShell에 다음 메시지가 표시됩니다.
이 신뢰되지 않은 게시자가 서명한 소프트웨어를 실행하시겠습니까? <file-name> 파일은 CN=<publisher-name>이(가) 게시했습니다. 이 게시자는 시스템에서 신뢰할 수 없습니다. 신뢰할 수 있는 게시자의 스크립트만 실행하세요.
[V] 절대 실행 안 함 [D] 실행하지 않음 [R] 한 번 실행 [A] 항상 실행 [?] 도움말(기본값 "D"):
게시자를 신뢰하는 경우 "한 번 실행" 또는 "항상 실행"을 선택합니다. 게시자를 신뢰하지 않는 경우 "절대 실행 안 함" 또는 "실행하지 않음"을 선택합니다. "절대 실행 안 함" 또는 "항상 실행"을 선택하는 경우 Windows PowerShell은 이 게시자를 신뢰하는지 묻는 메시지를 다시 표시하지 않습니다.
스크립트 서명 방법
작성한 스크립트 및 다른 원본에서 가져온 스크립트에 서명할 수 있습니다. 스크립트에 서명하기 전에 각 명령을 실행하여 실행해도 안전한지 확인합니다.
코드 서명에 대한 모범 사례를 보려면 "코드 서명 모범 사례"(https://go.microsoft.com/fwlink/?LinkId=119096)를 참조하세요.
스크립트 파일에 서명하는 방법에 대한 자세한 내용은 Set-AuthenticodeSignature를 참조하세요.
Windows PowerShell 3.0의 PKI 모듈에 도입된 New-SelfSignedCertificate cmdlet은 테스트하기 적합한 자체 서명된 인증서를 만듭니다. 자세한 내용은 New-SelfSignedCertificate cmdlet에 대한 도움말 항목을 참조하세요.
스크립트에 디지털 서명을 추가하려면 코드 서명 인증서를 사용하여 서명해야 합니다. 다음 두 가지 유형의 인증서가 스크립트 파일에 서명하는 데 적합합니다.
-- 인증 기관에서 만든 인증서:
요금 부과를 위해 공공 인증 기관은 사용자의 신원을 확인하고 코드 서명 인증서를 제공합니다. 신뢰할 수 있는 인증 기관에서 인증서를 구입하면 다른 컴퓨터에도 해당 인증 기관을 신뢰하기 때문에 Windows를 실행하는 다른 컴퓨터의 사용자와 스크립트를 공유할 수 있습니다.
-- 직접 만든 인증서:
사용 중인 컴퓨터가 인증서를 만드는 기관이 되는 자체 서명된 인증서를 만들 수 있습니다. 이 인증서는 무료이며 컴퓨터에서 스크립트를 작성하고 서명하고 실행할 수 있도록 합니다. 그러나 자체 서명된 인증서로 서명한 스크립트는 다른 컴퓨터에서 실행되지 않습니다.
일반적으로 직접 사용하기 위해 작성한 스크립트에 서명하거나 안전한 것으로 확인한 다른 원본에서 가져온 스크립트에 서명하려는 경우에만 자체 서명된 인증서를 사용합니다. 기업 내라도 공유되는 스크립트라면 자체 서명된 인증서가 적합하지 않습니다.
자체 서명된 인증서를 만드는 경우 인증서에 대해 강력한 개인 키 보호를 사용하도록 설정해야 합니다. 이렇게 하면 악의적인 프로그램이 사용자 대신 스크립트에 서명할 수 없습니다. 지침은 이 항목 끝에 나와 있습니다.
자체 서명된 인증서 만들기
자체 서명된 인증서를 만들려면 PKI 모듈에서 New-SelfSignedCertificate cmdlet을 사용합니다. 이 모듈은 Windows PowerShell 3.0에 도입되었으며 Windows 8 및 Windows Server 2012에 포함됩니다. 자세한 내용은 New-SelfSignedCertificate cmdlet에 대한 도움말 항목을 참조하세요.
이전 버전의 Windows에서 자체 서명된 인증서를 만들려면 인증서 작성 도구(MakeCert.exe)를 사용합니다. 이 도구는 Microsoft .NET Framework SDK(버전 1.1 이상) 및 Microsoft Windows SDK에 포함되어 있습니다.
@@MakeCert.exe 도구의 구문 및 매개 변수 설명에 대한 자세한 내용은 "인증서 작성 도구(MakeCert.exe)" MSDN(Microsoft Developer Network) 라이브러리(https://go.microsoft.com/fwlink/?LinkId=119097)에서 참조 하세요.
MakeCert.exe 도구를 사용하여 인증서를 만들려면 SDK 명령 프롬프트 창에서 다음 명령을 실행합니다.
참고: 첫 번째 명령은 컴퓨터에 대한 로컬 인증 기관을 만듭니다. 두 번째 명령은 인증 기관에서 개인 인증서를 생성합니다.
참고: 명령을 복사하거나 표시된 그대로 입력할 수 있습니다. 인증서 이름을 변경할 수 있지만 대체할 필요는 없습니다.
makecert -n "CN=PowerShell Local Certificate Root" -a sha1 `
-eku 1.3.6.1.5.5.7.3.3 -r -sv root.pvk root.cer `
-ss Root -sr localMachine
makecert -pe -n "CN=PowerShell User" -ss MY -a sha1 `
-eku 1.3.6.1.5.5.7.3.3 -iv root.pvk -ic root.cer
MakeCert.exe 도구는 개인 키 암호를 묻습니다. 따라서 어느 누구도 사용자 동의 없이 인증서를 사용하거나 액세스할 수 없게 됩니다. 기억할 수 있는 암호를 만들고 입력합니다. 이 암호는 나중에 인증서를 검색하는 데 사용됩니다.
인증서가 올바르게 생성되었는지 확인하려면 다음 명령을 사용하여 컴퓨터의 인증서 저장소로 인증서를 가져옵니다. (파일 시스템 디렉터리에서는 인증서 파일을 찾지 않도록 합니다.)
Windows PowerShell 프롬프트에서 다음을 입력합니다.
get-childitem cert:\CurrentUser\my -codesigning
이 명령은 Windows PowerShell 인증서 공급자를 사용하여 인증서에 대한 정보를 표시합니다.
인증서가 만들어진 경우 다음과 유사한 화면에 인증서를 식별하는 지문이 출력으로 표시됩니다.
Directory: Microsoft.PowerShell.Security\Certificate::CurrentUser\My
Thumbprint Subject
---------- -------
4D4917CB140714BA5B81B96E0B18AAF2C4564FDF CN=PowerShell User ]
스크립트 서명
자체 서명된 인증서를 만든 후에는 스크립트에 서명할 수 있습니다. AllSigned 실행 정책을 사용하는 경우 스크립트에 서명하면 컴퓨터에서 스크립트를 실행할 수 있습니다.
다음 샘플 스크립트 Add-Signature.ps1은 스크립트에 서명합니다. 그러나 AllSigned 실행 정책을 사용하는 경우 실행하기 전에 Add-Signature.ps1 스크립트에 서명해야 합니다.
이 스크립트를 사용하려면 다음 텍스트를 텍스트 파일에 복사하고 Add-Signature.ps1이라고 지정합니다.
참고: 스크립트 파일의 파일 확장명이 .txt가 아닌지 확인합니다. 파일 편집기가 ".txt"를 추가하는 경우 파일 이름을 큰따옴표로 묶습니다. (예: "add-signature.ps1")
## add-signature.ps1
## Signs a file
param([string] $file=$(throw "Please specify a filename."))
$cert = @(Get-ChildItem cert:\CurrentUser\My -codesigning)[0]
Set-AuthenticodeSignature $file $cert
Add-Signature.ps1 스크립트 파일에 서명하려면 Windows PowerShell 명령 프롬프트에서 다음 명령을 입력합니다.
$cert = @(Get-ChildItem cert:\CurrentUser\My -codesigning)[0]
Set-AuthenticodeSignature add-signature.ps1 $cert
서명된 스크립트는 로컬 컴퓨터에서 실행할 수 있습니다. 그러나 Windows PowerShell 실행 정책이 신뢰할 수 있는 기관의 디지털 서명을 요구하는 컴퓨터에서는 스크립트가 실행되지 않습니다. 스크립트를 실행하려고 하면 Windows PowerShell이 다음과 같은 오류 메시지를 표시합니다.
The file C:\remote_file.ps1 cannot be loaded. The signature of the
certificate cannot be verified.
At line:1 char:15
+ .\ remote_file.ps1 <<<<
사용자가 작성하지 않은 스크립트를 실행할 때 Windows PowerShell이 이 메시지를 표시하면 서명되지 않은 스크립트처럼 해당 파일을 처리합니다. 코드를 검토하여 스크립트를 신뢰할 수 있는지 여부를 확인합니다.
인증서에 대한 강력한 개인 키 보호 사용
컴퓨터에 개인 인증서가 있는 경우 악성 프로그램이 사용자 대신 스크립트에 서명을 하고 Windows PowerShell에 악성 프로그램의 실행 권한을 부여할 수 있습니다.
사용자 대신 자동 서명이 발생하지 않도록 하려면 인증서 관리자(Certmgr.exe)를 사용하여 서명 인증서를 .pfx 파일로 내보냅니다. 인증서 관리자는 Microsoft .NET Framework SDK, Microsoft Windows SDK 및 Internet Explorer 5.0 이상 버전에 포함되어 있습니다.
인증서를 내보내려면
1. 인증서 관리자를 시작합니다.
2. PowerShell 로컬 인증서 루트에서 발급한 인증서를 선택합니다.
3. 내보내기를 클릭하여 인증서 내보내기 마법사를 시작합니다.
4. "예, 개인 키를 내보냅니다."를 선택하고 다음을 클릭합니다.
5. "강력한 보호 사용"을 선택합니다.
6. 암호를 입력하고 확인을 위해 다시 입력합니다.
7. 파일 이름 확장명이 .pfx인 파일 이름을 입력합니다.
8. 마침을 클릭합니다.
인증서를 다시 가져오려면
1. 인증서 관리자를 시작합니다.
2. 가져오기를 클릭하여 인증서 가져오기 마법사를 시작합니다.
3. 내보내기 프로세스 중에 만든 .pfx 파일의 위치를 엽니다.
4. 암호 페이지에서 "강력한 개인 키 보호 사용"을 선택한 다음 내보내기 프로세스 중에 할당한 암호를 입력합니다.
5. 개인 인증서 저장소를 선택합니다.
6. 마침을 클릭합니다.
서명이 만료되지 않도록 방지
스크립트의 디지털 서명은 서명 인증서가 만료될 때까지 또는 타임스탬프 서버가 서명 인증서가 유효한 상태에서 스크립트가 서명되었음을 확인할 수 있는 동안 유효합니다.
대부분의 서명 인증서는 1년 동안만 유효하므로 타임스탬프 서버를 사용하면 사용자는 향후 수년 동안 스크립트를 사용할 수 있습니다.
참고 항목
about_Execution_Policies
about_Profiles
Get-ExecutionPolicy
New-SelfSignedCertificate
Set-ExecutionPolicy
Set-AuthenticodeSignature
"코드 서명 소개"(영문)(https://go.microsoft.com/fwlink/?LinkId=106296)