Firmare un criterio di integrazione continua usando la firma attendibile

Questo articolo illustra come firmare nuovi criteri di integrità del codice usando il servizio firma attendibile.

Prerequisiti

Per completare i passaggi di questo articolo sono necessari:

• Un account di Firma attendibile, la convalida dell'identità e un profilo di certificato.
• Assegnazione individuale o di gruppo del ruolo Firmatario del profilo del certificato di Firma attendibile.
• Azure PowerShell in Windows installato.
• Modulo Az.CodeSigning scaricato.

Firmare un criterio di integrazione continua

1. Aprire PowerShell 7.

2. Facoltativamente, è possibile creare un file di metadata.json simile a questo esempio: (Il valore dell'URI "Endpoint" deve essere allineato all'area in cui sono stati creati l'account di Firma attendibile e il profilo di certificato al momento della configurazione di queste risorse).

   {
   "Endpoint":"https://xxx.codesigning.azure.net/",
   "CodeSigningAccountName":"<Trusted Signing Account Name>",
   "CertificateProfileName":"<Certificate Profile Name>"
   }
   

3. Ottenere il certificato radice da aggiungere all'archivio attendibilità:

   Get-AzCodeSigningRootCert -AccountName TestAccount -ProfileName TestCertProfile -EndpointUrl https://xxx.codesigning.azure.net/ -Destination c:\temp\root.cer
   

   Se si usa un file metadata.json, eseguire invece questo comando:

   Get-AzCodeSigningRootCert -MetadataFilePath C:\temp\metadata.json https://xxx.codesigning.azure.net/ -Destination c:\temp\root.cer 
   

4. Per ottenere l'utilizzo chiavi esteso (EKU) da inserire nei criteri:

   Get-AzCodeSigningCustomerEku -AccountName TestAccount -ProfileName TestCertProfile -EndpointUrl https://xxx.codesigning.azure.net/ 
   

   Se si usa un file metadata.json, eseguire invece questo comando:

   Get-AzCodeSigningCustomerEku -MetadataFilePath C:\temp\metadata.json 
   

5. Per firmare il criterio, eseguire il comando invoke:

   Invoke-AzCodeSigningCIPolicySigning -accountName TestAccount -profileName TestCertProfile -endpointurl "https://xxx.codesigning.azure.net/" -Path C:\Temp\defaultpolicy.bin -Destination C:\Temp\defaultpolicy_signed.bin -TimeStamperUrl: http://timestamp.acs.microsoft.com 
   

   Se si usa un file metadata.json, eseguire invece questo comando:

   Invoke-AzCodeSigningCIPolicySigning -MetadataFilePath C:\temp\metadata.json -Path C:\Temp\defaultpolicy.bin -Destination C:\Temp\defaultpolicy_signed.bin -TimeStamperUrl: http://timestamp.acs.microsoft.com 
   

Creare e distribuire un criterio di integrazione continua

Per la procedura per creare e distribuire i criteri di integrazione continua, vedere gli articoli seguenti:

• Usare i criteri firmati per proteggere Windows Defender Application Control da manomissioni
• Guida alla progettazione del controllo delle applicazioni di Windows Defender