다음을 통해 공유

서명 정보

간단한 설명

PowerShell 실행 정책을 준수하도록 스크립트에 서명하는 방법을 설명합니다.

자세한 설명

제한된 실행 정책은 스크립트 실행을 허용하지 않습니다. AllSignedRemoteSigned 실행 정책은 PowerShell이 디지털 서명이 없는 스크립트를 실행하지 못하도록 합니다.

이 항목에서는 실행 정책이 RemoteSigned인 동안에도 서명되지 않은 선택된 스크립트를 실행하는 방법과 직접 사용하기 위해 스크립트에 서명하는 방법에 대해 설명합니다.

PowerShell 실행 정책에 대한 자세한 내용은 about_Execution_Policies참조하세요.

서명된 스크립트 실행을 허용하려면

컴퓨터에서 PowerShell을 처음 시작하는 경우 제한된 실행 정책(기본값)이 적용될 수 있습니다.

제한된 정책은 스크립트 실행을 허용하지 않습니다.

컴퓨터에서 유효한 실행 정책을 찾으려면 다음을 입력합니다.

Get-ExecutionPolicy

로컬 컴퓨터에서 작성한 서명되지 않은 스크립트와 다른 사용자의 서명된 스크립트를 실행하려면 관리자 권한으로 실행 옵션을 사용하여 PowerShell을 시작한 다음, 다음 명령을 사용하여 컴퓨터의 실행 정책을 RemoteSigned로 변경합니다.

Set-ExecutionPolicy RemoteSigned

자세한 내용은 Set-ExecutionPolicy cmdlet에 대한 도움말 항목을 참조하세요.

서명되지 않은 스크립트 실행(REMOTESIGNED 실행 정책)

PowerShell 실행 정책이 RemoteSigned인 경우 Windows PowerShell은 전자 메일 및 인스턴트 메시징 프로그램을 통해 받은 서명되지 않은 스크립트를 포함하여 인터넷에서 다운로드한 서명되지 않은 스크립트를 실행하지 않습니다.

다운로드한 스크립트를 실행하려고 하면 PowerShell에서 다음 오류 메시지가 표시됩니다.

The file <file-name> cannot be loaded. The file <file-name> is not digitally
signed. The script will not execute on the system. Please see "Get-Help
about_Signing" for more details.

스크립트를 실행하기 전에 코드를 검토하여 신뢰할 수 있는지 확인합니다. 스크립트는 모든 실행 프로그램과 동일한 효과를 줍니다.

서명되지 않은 스크립트를 실행하려면 Unblock-File cmdlet을 사용하거나 다음 절차를 사용합니다.

  1. 컴퓨터에 스크립트 파일을 저장합니다.
  2. 시작을 클릭하고 내 컴퓨터를 클릭한 다음 저장된 스크립트 파일을 찾습니다.
  3. 스크립트 파일을 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다.
  4. 차단 해제를 클릭합니다.

인터넷에서 다운로드한 스크립트가 디지털 서명되었지만 아직 게시자를 신뢰하도록 선택하지 않은 경우 PowerShell은 다음 메시지를 표시합니다.

Do you want to run software from this untrusted publisher?
The file <file-name> is published by CN=<publisher-name>. This
publisher is not trusted on your system. Only run scripts
from trusted publishers.

[V] Never run  [D] Do not run  [R] Run once  [A] Always run
[?] Help (default is "D"):

게시자를 신뢰하는 경우 "한 번 실행" 또는 "항상 실행"을 선택합니다. 게시자를 신뢰할 수 없는 경우 "실행 안 함" 또는 "실행 안 함"을 선택합니다. "실행 안 함" 또는 "항상 실행"을 선택하면 PowerShell에서 이 게시자에 대한 메시지를 다시 표시하지 않습니다.

스크립트 서명 방법

사용자가 작성한 스크립트와 다른 소스에서 가져온 스크립트에 서명할 수 있습니다. 스크립트에 서명하기 전에 각 명령을 검사하여 실행해도 안전한지 확인합니다.

코드 서명에 대한 모범 사례는 Code-Signing 모범 사례를 참조하십시오.

스크립트 파일에 서명하는 방법에 대한 자세한 내용은 Set-AuthenticodeSignature참조하세요.

PowerShell 3.0의 PKI 모듈에 도입된 cmdlet은 New-SelfSignedCertificate 테스트에 적합한 자체 서명된 인증서를 만듭니다. 자세한 내용은 New-SelfSignedCertificate cmdlet에 대한 도움말 항목을 참조하세요.

스크립트에 디지털 서명을 추가하려면 코드 서명 인증서를 사용하여 서명해야 합니다. 두 가지 유형의 인증서는 스크립트 파일에 서명하는 데 적합합니다.

  • 인증 기관에서 만든 인증서: 유료로 공용 인증 기관은 사용자의 ID를 확인하고 코드 서명 인증서를 제공합니다. 신뢰할 수 있는 인증 기관에서 인증서를 구매하면 다른 컴퓨터가 인증 기관을 신뢰하기 때문에 Windows를 실행하는 다른 컴퓨터의 사용자와 스크립트를 공유할 수 있습니다.

  • 자신이 만든 인증서: 컴퓨터가 인증 기관이 되어 자체 서명된 인증서를 생성할 수 있습니다. 이 인증서는 무료이며 컴퓨터에서 스크립트를 작성, 서명 및 실행할 수 있습니다. 그러나 자체 서명된 인증서로 서명된 스크립트는 다른 컴퓨터에서 실행되지 않습니다.

일반적으로 자체 서명된 인증서는 사용자가 직접 사용하기 위해 작성한 스크립트에 서명하고 안전하다고 확인된 다른 소스에서 가져온 스크립트에 서명하는 데만 사용합니다. 기업 내에서도 공유되는 스크립트에는 적합하지 않습니다.

자체 서명된 인증서를 만드는 경우 인증서에서 강력한 프라이빗 키 보호를 사용하도록 설정해야 합니다. 이렇게 하면 악의적인 프로그램이 사용자 대신 스크립트에 서명할 수 없습니다. 지침은 이 항목의 끝에 포함되어 있습니다.

SELF-SIGNED 인증서 만들기

자체 서명된 인증서를 만들려면 PKI 모듈에서 New-SelfSignedCertificate cmdlet을 사용합니다. 이 모듈은 PowerShell 3.0에 도입되었으며 Windows 8 및 Windows Server 2012 포함되어 있습니다. 자세한 내용은 New-SelfSignedCertificate cmdlet에 대한 도움말 항목을 참조하세요.

이전 버전의 Windows에서 자체 서명된 인증서를 만들려면 인증서 생성 도구(MakeCert.exe)를 사용합니다. 이 도구는 Microsoft .NET Framework SDK(버전 1.1 이상) 및 Microsoft Windows SDK에 포함되어 있습니다.

MakeCert.exe 도구의 구문 및 매개 변수 설명에 대한 자세한 내용은 인증서 생성 도구(MakeCert.exe)를 참조하십시오.

MakeCert.exe 도구를 사용하여 인증서를 만들려면 SDK 명령 프롬프트 창에서 다음 명령을 실행합니다.

참고: 첫 번째 명령은 컴퓨터에 대한 로컬 인증 기관을 만듭니다. 두 번째 명령은 인증 기관에서 개인 인증서를 생성합니다.

참고: 표시되는 대로 정확하게 명령을 복사하거나 입력할 수 있습니다. 인증서 이름을 변경할 수 있지만 대체는 필요하지 않습니다.

makecert -n "CN=PowerShell Local Certificate Root" -a sha1 `
-eku 1.3.6.1.5.5.7.3.3 -r -sv root.pvk root.cer `
-ss Root -sr localMachine

makecert -pe -n "CN=PowerShell User" -ss MY -a sha1 `
-eku 1.3.6.1.5.5.7.3.3 -iv root.pvk -ic root.cer

MakeCert.exe 도구는 개인 키 암호를 묻는 메시지를 표시합니다. 암호는 아무도 사용자의 동의 없이 인증서를 사용하거나 액세스할 수 없도록 합니다. 기억할 수 있는 암호를 만들고 입력합니다. 나중에 이 암호를 사용하여 인증서를 검색합니다.

인증서가 올바르게 생성되었는지 확인하려면 다음 명령을 사용하여 컴퓨터의 인증서 저장소에서 인증서를 가져옵니다. (파일 시스템 디렉터리에서 인증서 파일을 찾을 수 없습니다.)

PowerShell 프롬프트에서 다음을 입력합니다.

Get-ChildItem cert:\CurrentUser\my -codesigning

이 명령은 PowerShell 인증서 공급자를 사용하여 인증서에 대한 정보를 봅니다.

인증서가 만들어진 경우 출력에는 인증서를 식별하는 지문이 다음과 유사한 디스플레이에 표시됩니다.

Directory: Microsoft.PowerShell.Security\Certificate::CurrentUser\My

Thumbprint                                Subject
----------                                -------
4D4917CB140714BA5B81B96E0B18AAF2C4564FDF  CN=PowerShell User ]

스크립트 서명

자체 서명된 인증서를 만든 후 스크립트에 서명할 수 있습니다. AllSigned 실행 정책을 사용하는 경우 스크립트에 서명하면 컴퓨터에서 스크립트를 실행할 수 있습니다.

다음 샘플 스크립트 Add-Signature.ps1는 스크립트에 서명합니다. 그러나 AllSigned 실행 정책을 사용하는 경우 실행하기 전에 Add-Signature.ps1 스크립트에 서명해야 합니다.

이 스크립트를 사용하려면 다음 텍스트를 텍스트 파일에 복사하고 이름을 Add-Signature.ps1.

## Signs a file
param([string] $file=$(throw "Please specify a filename."))
$cert = @(Get-ChildItem cert:\CurrentUser\My -codesigning)[0]
Set-AuthenticodeSignature $file $cert

Add-Signature.ps1 스크립트 파일에 서명하려면 PowerShell 명령 프롬프트에 다음 명령을 입력합니다.

$cert = @(Get-ChildItem cert:\CurrentUser\My -codesigning)[0]
Set-AuthenticodeSignature add-signature.ps1 $cert

스크립트에 서명한 후 로컬 컴퓨터에서 실행할 수 있습니다. 그러나 PowerShell 실행 정책에 신뢰할 수 있는 기관의 디지털 서명이 필요한 컴퓨터에서는 스크립트가 실행되지 않습니다. 시도하면 PowerShell에 다음과 같은 오류 메시지가 표시됩니다.

The file C:\remote_file.ps1 cannot be loaded. The signature of the
certificate cannot be verified.
At line:1 char:15
+ .\ remote_file.ps1 <<<<

작성하지 않은 스크립트를 실행할 때 PowerShell에서 이 메시지를 표시하는 경우 서명되지 않은 스크립트를 처리하는 것처럼 파일을 처리합니다. 코드를 검토하여 스크립트를 신뢰할 수 있는지 여부를 확인합니다.

인증서에 대해 강력한 개인 키 보호 사용

컴퓨터에 개인 인증서가 있는 경우 악성 프로그램이 사용자를 대신하여 스크립트에 서명하여 PowerShell에서 스크립트를 실행할 수 있는 권한을 부여할 수 있습니다.

사용자를 대신하여 자동 서명을 방지하려면 인증서 관리자(Certmgr.exe)를 사용하여 서명 인증서를 .pfx 파일로 내보냅니다. 인증서 관리자는 Microsoft .NET Framework SDK, Microsoft Windows SDK 및 Internet Explorer 5.0 이상 버전에 포함되어 있습니다.

인증서를 내보내려면 다음을 수행합니다.

  1. 인증서 관리자를 시작합니다.
  2. PowerShell 로컬 인증서 루트에서 발급한 인증서를 선택합니다.
  3. 내보내기를 클릭하여 인증서 내보내기 마법사를 시작합니다.
  4. "Yes, export the private key(예, 개인 키를 내보냅니다)"를 선택하고 Next(다음)를 클릭합니다.
  5. "강력한 보호 사용"을 선택합니다.
  6. 암호를 입력한 다음 다시 입력하여 확인합니다.
  7. 파일 이름 확장명이 .pfx인 파일 이름을 입력합니다.
  8. Finish를 클릭합니다.

인증서를 다시 가져오려면 다음을 수행합니다.

  1. 인증서 관리자를 시작합니다.
  2. Import(가져오기)를 클릭하여 Certificate Import Wizard(인증서 가져오기 마법사)를 시작합니다.
  3. 내보내기 프로세스 중에 만든 .pfx 파일의 위치를 엽니다.
  4. Password(암호) 페이지에서 "Enable strong private key protection(강력한 개인 키 보호 사용)"을 선택한 다음 내보내기 프로세스 중에 할당한 암호를 입력합니다.
  5. 개인 인증서 저장소를 선택합니다.
  6. Finish를 클릭합니다.

서명이 만료되지 않도록 방지

스크립트의 디지털 서명은 서명 인증서가 만료될 때까지 또는 서명 인증서가 유효한 동안 스크립트가 서명되었음을 타임스탬프 서버에서 확인할 수 있는 한 유효합니다.

대부분의 서명 인증서는 1년 동안만 유효하기 때문에 타임스탬프를 사용하면 사용자가 앞으로 몇 년 동안 스크립트를 사용할 수 있습니다.

참고 항목

실행 정책에 대하여

프로필에_대하여

Get-ExecutionPolicy

Set-ExecutionPolicy (실행 정책 설정)

Set-AuthenticodeSignature

코드 서명 소개

  • Last updated on