Condividi tramite


Firmare un criterio di integrazione continua usando la firma attendibile

Questo articolo illustra come firmare nuovi criteri di integrità del codice usando il servizio firma attendibile.

Prerequisiti

Per completare i passaggi di questo articolo sono necessari:

  • Un account di Firma attendibile, la convalida dell'identità e un profilo di certificato.
  • Assegnazione individuale o di gruppo del ruolo Firmatario del profilo del certificato di Firma attendibile.
  • Azure PowerShell in Windows installato.
  • Modulo Az.CodeSigning scaricato.

Firmare un criterio di integrazione continua

  1. Aprire PowerShell 7.

  2. Facoltativamente, è possibile creare un file di metadata.json simile a questo esempio: (Il valore dell'URI "Endpoint" deve essere allineato all'area in cui sono stati creati l'account di Firma attendibile e il profilo di certificato al momento della configurazione di queste risorse).

    {
    "Endpoint":"https://xxx.codesigning.azure.net/",
    "CodeSigningAccountName":"<Trusted Signing Account Name>",
    "CertificateProfileName":"<Certificate Profile Name>"
    }
    
  3. Ottenere il certificato radice da aggiungere all'archivio attendibilità:

    Get-AzCodeSigningRootCert -AccountName TestAccount -ProfileName TestCertProfile -EndpointUrl https://xxx.codesigning.azure.net/ -Destination c:\temp\root.cer
    

    Se si usa un file metadata.json, eseguire invece questo comando:

    Get-AzCodeSigningRootCert -MetadataFilePath C:\temp\metadata.json https://xxx.codesigning.azure.net/ -Destination c:\temp\root.cer 
    
  4. Per ottenere l'utilizzo chiavi esteso (EKU) da inserire nei criteri:

    Get-AzCodeSigningCustomerEku -AccountName TestAccount -ProfileName TestCertProfile -EndpointUrl https://xxx.codesigning.azure.net/ 
    

    Se si usa un file metadata.json, eseguire invece questo comando:

    Get-AzCodeSigningCustomerEku -MetadataFilePath C:\temp\metadata.json 
    
  5. Per firmare il criterio, eseguire il comando invoke:

    Invoke-AzCodeSigningCIPolicySigning -accountName TestAccount -profileName TestCertProfile -endpointurl "https://xxx.codesigning.azure.net/" -Path C:\Temp\defaultpolicy.bin -Destination C:\Temp\defaultpolicy_signed.bin -TimeStamperUrl: http://timestamp.acs.microsoft.com 
    

    Se si usa un file metadata.json, eseguire invece questo comando:

    Invoke-AzCodeSigningCIPolicySigning -MetadataFilePath C:\temp\metadata.json -Path C:\Temp\defaultpolicy.bin -Destination C:\Temp\defaultpolicy_signed.bin -TimeStamperUrl: http://timestamp.acs.microsoft.com 
    

Creare e distribuire un criterio di integrazione continua

Per la procedura per creare e distribuire i criteri di integrazione continua, vedere gli articoli seguenti: