Firmare un criterio di integrazione continua usando la firma attendibile
Questo articolo illustra come firmare nuovi criteri di integrità del codice usando il servizio firma attendibile.
Prerequisiti
Per completare i passaggi di questo articolo sono necessari:
- Un account di Firma attendibile, la convalida dell'identità e un profilo di certificato.
- Assegnazione individuale o di gruppo del ruolo Firmatario del profilo del certificato di Firma attendibile.
- Azure PowerShell in Windows installato.
- Modulo Az.CodeSigning scaricato.
Firmare un criterio di integrazione continua
Aprire PowerShell 7.
Facoltativamente, è possibile creare un file di metadata.json simile a questo esempio: (Il valore dell'URI
"Endpoint"
deve essere allineato all'area in cui sono stati creati l'account di Firma attendibile e il profilo di certificato al momento della configurazione di queste risorse).{ "Endpoint":"https://xxx.codesigning.azure.net/", "CodeSigningAccountName":"<Trusted Signing Account Name>", "CertificateProfileName":"<Certificate Profile Name>" }
Ottenere il certificato radice da aggiungere all'archivio attendibilità:
Get-AzCodeSigningRootCert -AccountName TestAccount -ProfileName TestCertProfile -EndpointUrl https://xxx.codesigning.azure.net/ -Destination c:\temp\root.cer
Se si usa un file metadata.json, eseguire invece questo comando:
Get-AzCodeSigningRootCert -MetadataFilePath C:\temp\metadata.json https://xxx.codesigning.azure.net/ -Destination c:\temp\root.cer
Per ottenere l'utilizzo chiavi esteso (EKU) da inserire nei criteri:
Get-AzCodeSigningCustomerEku -AccountName TestAccount -ProfileName TestCertProfile -EndpointUrl https://xxx.codesigning.azure.net/
Se si usa un file metadata.json, eseguire invece questo comando:
Get-AzCodeSigningCustomerEku -MetadataFilePath C:\temp\metadata.json
Per firmare il criterio, eseguire il comando
invoke
:Invoke-AzCodeSigningCIPolicySigning -accountName TestAccount -profileName TestCertProfile -endpointurl "https://xxx.codesigning.azure.net/" -Path C:\Temp\defaultpolicy.bin -Destination C:\Temp\defaultpolicy_signed.bin -TimeStamperUrl: http://timestamp.acs.microsoft.com
Se si usa un file metadata.json, eseguire invece questo comando:
Invoke-AzCodeSigningCIPolicySigning -MetadataFilePath C:\temp\metadata.json -Path C:\Temp\defaultpolicy.bin -Destination C:\Temp\defaultpolicy_signed.bin -TimeStamperUrl: http://timestamp.acs.microsoft.com
Creare e distribuire un criterio di integrazione continua
Per la procedura per creare e distribuire i criteri di integrazione continua, vedere gli articoli seguenti: