批次建立 win-acme 用 DNS Record 取得憑證的任務

批次建立 win-acme 用 DNS Record 取得憑證的任務

$RecordNames = @();
$RecordNames += "www";

$Domain = "contoso.com";

foreach ($RecordName in $RecordNames) {
    
    $FQDN = ($RecordName + '.' + $Domain);
    write-host ('Request Certificate for ' + $FQDN);

在 Azure DNS Zone 用 DNS Record 來驗證 Let's Encrypt 的 PowerShell Script

前情提要: 在 Microsoft DNS Server 上用 DNS Record 來驗證 Let's Encrypt 的 PowerShell Script

AzureDNSZoneVerification.ps1

# -Step "create" -Identifier "{Identifier}" -RecordName "{RecordName}" -Token "{Token}"

# -Step "delete" -Identifier "{Identifier}" -RecordName "{RecordName}" -Token "{Token}"

param (

[string]$Step,

[string]$Identifier,

[string]$RecordName,

[string]$Token

);

[string]$AzureResourceGroupName = "Infra_Network"

[string]$ZoneName = "contoso.com"

[int]$TTL = 3600

write-host ('Step: ' + $Step);

write-host ('Identifier: ' + $Identifier);

write-host ('RecordName: ' + $RecordName);

write-host ('Token: ' + $Token);

PowerShell 更新 IIS Site Bind SSL Cert

$PublishedURL = "www.contoso.com"
$IISSiteName = "www.contoso.com"

$PFXPath = "C:\Cert\Cert\"
$Password = "password"

$PFXFullPath = "$PFXPath$PublishedURL.pfx"

$pfx = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2
$pfx.Import($PFXFullPath, $Password, [System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::EphemeralKeySet)

Import-Module IISAdministration

在 Exchange Online 如果寄給某個外部網域的信件無法送達，不要退信給原寄件者

在 Exchange Online 如果寄給某個外部網域的信件無法送達，不要退信給原寄件者
方法是透過 Remote Domain 設定停用 NDR（Non-Delivery Report）

首先要建立 Remote Domain (在 EAC Mail flow -> Accepted domains)
New-RemoteDomain -Name "DomainNameOne" -DomainName "Domain.Name.One"
New-RemoteDomain -Name "DomainNameTwo" -DomainName "Domain.Name.Two"

停用 NDR必須用 PowerShell 指令，EAC 不支援 (這裡的 -Identity 是上面的 -Name)

Set-RemoteDomain -Identity "DomainNameOne" -NDREnabled $false
Set-RemoteDomain -Identity "DomainNameTwo" -NDREnabled $false

Fix: SMTP Service MMC has detected an error in a snap-in

When right-click on [SMTP Virtual Server #1] in IIS 6.0 Manager and SMTP Server, you may get this error:

"MMC has detected an error in a snap-in. It is recommended that you shut down and restart MMC."

Here's the fix:

1. Stop SMTPSVC service [Display Name: Simple Mail Transfer Protocol (SMTP)]
2. Stop IISADMIN service [Display name: IIS Admin Service]
3. Edit "C:\Windows\System32\inetsrv\MetaBase.xml"
4. Find: <IIsSmtpServer Location ="/LM/SmtpSvc/1"
5. Add (Settings are alphabetical): RelayIpList=""
6. Save file
7. Start IISAdmin Service
8. Start SMTPSVC service

Credit: https://serverfault.com/questions/1095395/how-do-i-resolve-the-snapin-error-when-setting-up-smtp-on-iis-server

以下提供 PowerShell 程式，直接執行完成上述步驟

Replace Ceritificate on IIS SMTP Virtual Server

$PFXPath = "C:\Cert\"

$PFXPW  = ''

$PublishedURL = "smtp.contoso.com"

Import-Module WebAdministration

$MicrosoftIISv2WMI = Get-CimInstance -Namespace root/MicrosoftIISv2 -Class __Namespace -ErrorAction SilentlyContinue

if ($MicrosoftIISv2WMI -eq $Null) {

Install-WindowsFeature Web-Mgmt-Compat, Web-WMI;

};

$SMTPServer = Get-CimInstance -Namespace root/MicrosoftIISv2 -Class IIsSmtpServerSetting -Filter ("FullyQualifiedDomainName='".$PublishedURL."'")

if ($SMTPServer.AccessSSL -ne $True) {

write-host 'TLS not enabled';

exit;

};

IIS SMTP 使用 WildCard 憑證無法啟用 TLS 的問題

WildCard 憑證如果用 MMC 匯入 Local Computer 的 Personal 後
SMTP Domain 的 Access -> Security communication 中 Require TLS encrypt 還是反灰不能勾選

此時開啟 IIS Manager (管理網站的那個 Internet Information Services (IIS) Manager)
在伺服器層級點 Server Certificates，再點 Import，記得匯入 Store 選 Personal
按 OK 後重啟 IIS & SMTP Service 即可

*. 可以把 Allow this certificate to be exported 取消勾選

IIS SMTP MMC 啟動錯誤

Stop-Service SMTPSVC
Stop-Service IISAdmin

notepad C:\Windows\System32\inetsrv\MetaBase.xml

找到 <IIsSmtpServer Location ="/LM/SmtpSvc/1" 這一段
加入參數: RelayIpList=""

Start-Service IISAdmin
Start-Service SMTPSVC

Set-Service SMTPSVC -StartupType Automatic

取出 MSSQL DB 中 ZIP 壓縮過的二進位 .eml 檔並取出 Subject 等資訊

Mail eml 格式檔案 ZIP 後存在 DB 裡，但某日發現資料庫中有許多 Record 的 Subject 都錯誤
推測是歸檔程式有 Bug 的關係。
因為會影響搜尋結果，所以必須從資料庫中取出 ZIP 過的 eml 檔案
解壓後分析，再修正資料庫中的資料

以下程式包含上述功能但有更多其他功能，就不多說，有需要自取

需要 SharpZipLib
這是用來忽略解壓過程中發生錯誤，強制解壓的工具
不知道為什麼 DB 中的 ZIP 二進位資料取出後解壓會有問題，但忽略錯誤就可以

只用 Powershell 實在沒辦法對 Email 做良好的 Parser，必須丟到 Python 去處理
所以需要用 Powershell 處理到一半，用 Python 讀檔，再回 Powershell 處理
因為我實在不熟 Python，不然應該要用 Python 從頭寫到瑋才對

以下程式有許多部份都是用 Copilot 協助產生的，再加上自己修改而成

為 Powershell Script (*.ps1) 或自行編譯的執行檔 (*.exe) 建立自我信任的數位簽章

以下使用的環境為以 Windows Server 建立的Standalone CA，Enterprise CA 大同小異

首先建立一個憑證範本，用以提交 Code Signing Request 給 CA

其中藍字部分改為自己需要的內容

將其存檔為 CodeSigning.inf (純文字檔)

[Version]

Signature="$Windows NT$"

[NewRequest]

Subject = "CN=Dino9021 Code Signing, OU=IT, O=DinoClub, L=Hsinchu, S=Taiwan, C=TW"

KeySpec = 1

KeyLength = 2048

Exportable = TRUE

MachineKeySet = FALSE

SMIME = FALSE

PrivateKeyArchive = FALSE

UserProtected = FALSE

UseExistingKeySet = FALSE

RequestType = PKCS10

ProviderName = "Microsoft RSA SChannel Cryptographic Provider"

[Extensions]

2.5.29.37 = "{text}"

_continue_ = "1.3.6.1.5.5.7.3.3" ; Code Signing EKU