[PowerShell] 自動化更新 IIS SSL 憑證全攻略 (V6 完整版):加密與解密實作

-
本篇教學整理了 PowerShell V6 版自動化更新 IIS SSL 憑證的完整攻略,重點實作 AES 加密與解密流程。透過將密碼加密儲存,解決腳本明碼風險,並提供詳細的函式參數說明與終端機代碼範例,適合網管人員參考。
📝 寫在前面:
本文整合 PowerShell V6 版精華,示範如何安全加密 IIS SSL 憑證密碼並自動化管理。如果你不想把密碼「明碼」寫在腳本裡,這篇內容可以幫助你快速建立 AES 加密與解密流程。我們也將每個參數與流程詳細記錄,方便未來維護與回顧。

V6 版本核心概念簡單:用 AES 加密保護密碼,需要使用時再解密。即使腳本被外人取得,沒有金鑰 (Key) 也無法還原密碼,安全性大幅提升。

Part 1:加密工具 (Encrypt) - 製作鑰匙

本段程式碼包含兩個函式與一個安全輸入輔助函式,以下詳解每部分功能與運作流程:

1. Secure-Prompt 函式 (安全輸入)

提示用戶輸入敏感資料,如加密金鑰或密碼。

  • 功能:接收參數 Prompt,提示用戶輸入文字。
  • 機制:使用 Read-Host + -AsSecureString 安全接收輸入(螢幕顯示星號)。
  • 輸出:將安全字串轉換為明文文字,以便後續加密使用。

2. Encrypt-Data 函式 (加密核心)

加密提供的明文資料並將加密後的資料寫入指定的檔案中。

📦 參數詳細說明:

參數名稱 用途描述
$PlainText 輸入的明文資料(欲加密的原始密碼)。
$KeyFilePath 加密金鑰檔案的路徑(用於存儲生成的 AES Key)。
$IVFilePath 初始化向量檔案的路徑(增加加密強度的 IV)。
$EncryptedFilePath 加密後的資料檔案輸出的路徑。

⚙️ 執行邏輯與流程:

  • 讀取指定路徑的加密金鑰與初始化向量,轉換為位元組陣列。
  • 使用 System.Security.Cryptography.Aes 類別建立 AES 物件。
  • 建立加密器並對明文資料進行加密,將結果寫入 $EncryptedFilePath
  • 使用 Write-Host 顯示成功訊息,並在結束時釋放系統資源。

👨‍💻 [Code] 完整加密工具腳本

# 定義安全提示輸入函式
function Secure-Prompt {
    param([string]$Prompt)
    $secureString = Read-Host -Prompt $Prompt -AsSecureString
    $ptr = [System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($secureString)
    try { [System.Runtime.InteropServices.Marshal]::PtrToStringBSTR($ptr) } finally { [System.Runtime.InteropServices.Marshal]::ZeroFreeBSTR($ptr) }
}

# 定義執行加密函式
function Encrypt-Data {
    param($PlainText, $KeyFilePath, $IVFilePath, $EncryptedFilePath)
    $keyBytes = [Convert]::FromBase64String((Get-Content -Path $KeyFilePath -Raw))
    $ivBytes = [Convert]::FromBase64String((Get-Content -Path $IVFilePath -Raw))
    $aes = [System.Security.Cryptography.Aes]::Create()
    $aes.Key = $keyBytes
    $aes.IV = $ivBytes
    $encryptor = $aes.CreateEncryptor()
    $plainBytes = [System.Text.Encoding]::UTF8.GetBytes($PlainText)
    $encryptedBytes = $encryptor.TransformFinalBlock($plainBytes, 0, $plainBytes.Length)
    [System.IO.File]::WriteAllBytes($EncryptedFilePath, $encryptedBytes)
    Write-Host "✅ 加密完成並存儲至: $EncryptedFilePath" -ForegroundColor Green
}

Part 2:解密工具 (Decrypt) - 驗證還原

加密後必須驗證產生的金鑰檔案是否能正確還原回原始資料。這段程式碼定義了 Decrypt-DataAndDisplay 函式,用於自動化腳本的「驗證階段」。

程式解密運作邏輯

  • 讀取階段:程式從指定路徑讀取加密檔、Key 與 IV。
  • 還原金鑰:將 Base64 格式的金鑰與 IV 轉換回原本的 Byte 陣列。
  • 建立解密物件:利用 CreateDecryptor 建立 AES 解密物件。
  • 輸出明文:將還原後的 Byte 陣列轉碼為 UTF-8 字串顯示於控制台。

👨‍💻 [Code] 解密與驗證測試腳本

function Decrypt-DataAndDisplay {
    param($EncryptedFilePath, $KeyFilePath, $IVFilePath)
    $keyBytes = [Convert]::FromBase64String((Get-Content -Path $KeyFilePath -Raw))
    $ivBytes = [Convert]::FromBase64String((Get-Content -Path $IVFilePath -Raw))
    $aes = [System.Security.Cryptography.Aes]::Create()
    $aes.Key = $keyBytes
    $aes.IV = $ivBytes
    $decryptor = $aes.CreateDecryptor()
    $encryptedBytes = [System.IO.File]::ReadAllBytes($EncryptedFilePath)
    $plainBytes = $decryptor.TransformFinalBlock($encryptedBytes, 0, $encryptedBytes.Length)
    $plainText = [System.Text.Encoding]::UTF8.GetString($plainBytes)
    Write-Host "🔓 解密成功,明文資料:" -ForegroundColor Green
    Write-Host $plainText -ForegroundColor Yellow
}
⚠️ 安全提醒:
生成的 aes_key.txtaes_iv.txt 必須妥善保管。在自動化流程中,建議將金鑰存儲在具備存取控制的網路空間,而非與加密檔案放在同一路徑下。
💬 網管心情隨筆:
今天嘗試整理這套 PowerShell AES 加密流程,發現以前寫的程式碼太零散了,花了一上午才把它整合成 V6 版。雖然累,但看到完整流程跑通的瞬間,真的很有成就感。這不僅是自動化,更是對資料安全的一種負責。希望這篇文章對自己和讀者都能有幫助。

參考資料:ChatGPT 技術問答與實作驗證成果

🏷️ 文章標籤 (Tags)

#PowerShell #IIS #Automation #SSL #AES #自動化

留言

張貼留言

這個網誌中的熱門文章

[教學] LibreNMS 在 AlmaLinux 9.7 的企業級監控完整部署:Nginx + PHP 8.3 + MariaDB + SELinux 實戰指南(含 Weathermap/Oxidized)

-
圖片
📚 延伸閱讀:相關技術系列 👉 Graylog 安裝與升級實戰筆記 👉 CentOS 8 安裝 Cacti 1.2.23 完整教學 📝 文章筆記 LibreNMS 完整安裝教學:LNMP Stack 建立與 WeatherMap 配置 本篇以 AlmaLinux 9.7 為基礎環境,示範 LibreNMS 的完整企業級監控平台建置流程,包含 Nginx + PHP 8.3 + MariaDB 的 LNMP Stack 安裝、SELinux 設定、以及 Weathermap 與 Oxidized 的整合配置。適合需要在 RHEL 9 系列環境部署網路監控平台的網管人員參考。 Step 1. 安裝 LNMP Stack (Linux+Nginx+MariaDB+PHP)) # Linux OS Update sudo yum update -y # 確定及設定系統時區 timedatectl set-timezone Asia/Taipei timedatectl Step 2. 新增 LibreNMS 使用者 useradd librenms -d /opt/librenms -M -r -s "$(which bash)" 創建一個名為 librenms 的新系統用戶,該用戶將用於運行 LibreNMS。運行以下指令創建新用戶 librenms。 -d /opt/librenms :指定新用戶的主目錄為/opt/librenms。 -M :不為新用戶創建主目錄。 -r :定義新用戶為系統用戶。 -s “$(which bash)” :指定新用戶要bash的shell。 ...
Read more »

【開發雜談】網管人的痛點我都懂!打造我的最強側邊欄工具:📡NetProbe 網路偵探📡

-
做網管查 IP 還在開三個視窗切換嗎?這篇開發日記記錄了我如何為了解決痛點,從零打造「NetProbe 網路偵探」側邊欄工具。從 V1 的陽春表單到 V136 整合 VirusTotal 與 SSL 檢測的完全體,這是屬於工程師的極致自動化浪漫。 「其實我是一個懶的寫 Blog 的人。 那為什麼還要寫?因為有一天我可能會失憶。」 技術導流 除了網際網路偵測,還需要手機照片救援? 看看這篇實戰: [實戰] ADB + PowerShell 強制救援 LINE 照片 做網管、搞 IT 或是身為站長的開發者,應該都有個共同痛點:查一個 IP 或網域,真的要開好多分頁!光是 nslookup 和 whois 敲完,杯裡的咖啡都涼了。☕ 因此我決定: 「既然都要查,不如直接在我的部落格側邊欄弄一個萬能查詢小工具吧!」 今天就來聊聊這個常駐在本站側邊欄的黑科技—— 「NetProbe 網路偵探」 。它是如何從一個陽春的 HTML 表單,進化成現在這個 V155 完全體 的血淚歷程。 😩 網管人的真實痛點:視窗切換地獄 傳統標準流程: 遇到怪 IP 時,要分別開啟 FortiGuard、VirusTotal、Kaspersky 三個分頁,再重複執行「複製、貼上、搜尋」。視窗切來切去,效率低到爆!NetProbe 的誕生,就是為了實現「點一下,全參數帶入」的極速體驗。 💻 NetProbe 開發血淚史 (Dev Log) 1. 混沌初開:V1 時期 (單純表單) 最初的 V1 版本真的極度簡陋。沒有版號、沒有精緻的 CSS,就是一個純粹的「輸入框 + 送出按鈕」。當時功能極其單純:只能查查 GSN DNS 或看個基本的 A 紀錄。 2. 功能大爆發:V7 ~ V93 (區塊化革命) 資安情資整合: 成功串接 FortiGuard、VirusTotal、Kaspersky,實踐一鍵檢測威脅。 模組化分層: 介面正式演進為 DNS 解析...
Read more »

Rocky Linux 8 × HPE IMC 7.3 × MariaDB:2026 部署前言與 Phase 0~1 完整環境準備

-
📌 前言系列 - 本站前作 本系列文章為以下兩篇 CentOS 7 實戰指南的「2026 年現代化重製與推進版」。強烈建議搭配閱讀以了解 iMC 底層演進脈絡: 👉 [安裝篇] HPE IMC 7.3 在 CentOS 7 的完整部署全書:環境相容性修正與 MySQL 5.7 初始建置實戰 👉 [進階篇] HPE IMC 7.3 在 CentOS 7 的維運實戰:MySQL 8.0 極限調優與 OpenSSH 資安升級指南 📝 文章筆記 Rocky Linux 8 × HPE IMC 7.3 × MariaDB:2026 部署前言與 Phase 0~1 完整環境準備 ⚠️ 本系列並非官方標準部署,而是基於實戰驗證的「可運作方案」,適用於無法使用舊版 OS 的現代環境。 本文詳細解析 2026 年為何選擇 Rocky Linux 8 作為 HPE iMC 7.3 的部署平台,並提供硬體資源預檢與系統基礎環境校正的實戰腳本。 為什麼 2026 還在裝 iMC 7.3? 先把現實講白一點: 現在的 Linux 世界,已經有 Rocky 8、Rocky 9,甚至 Rocky 10 在那邊排隊,RHEL 9 也早就 GA 一段時間了。 但 iMC 7.3 的官方世界,還停在「最後支援 Red Hat / CentOS 8」那一頁:文件寫得很漂亮,實際上 CentOS 7/8 本尊早就 EOL。打開 HPE 的 iMC 7.3 文件,你會看到一個很典型的「時代交接場景」: 作業系統支援矩陣: Windows...
Read more »