Signieren einer CI-Richtlinie mithilfe von Trusted Signing

In diesem Artikel erfahren Sie, wie Sie neue CI-Richtlinien (Codeintegrität) mithilfe von Trusted Signing signieren.

Voraussetzungen

Um die Schritte dieses Artikels abzuschließen, benötigen Sie Folgendes:

• Trusted Signing-Konto, Identitätsüberprüfung und Zertifikatprofil.
• Einzel- oder Gruppenzuweisung der Rolle "Signierer für Trusted Signing-Zertifikate".
• Azure PowerShell in Windows installiert.
• Az.CodeSigning-Modul heruntergeladen.

Signieren einer CI-Richtlinie

1. Öffnen Sie PowerShell7.

2. Optional können Sie eine Datei metadata.json erstellen, die wie dieses Beispiel aussieht:("Endpoint" URI-Wert muss ein URI sein, der an der Region ausgerichtet ist, in der Sie Ihr vertrauenswürdiges Signaturkonto und das Zertifikatprofil erstellt haben, wenn Sie diese Ressourcen einrichten.)

   {
   "Endpoint":"https://xxx.codesigning.azure.net/",
   "CodeSigningAccountName":"<Trusted Signing Account Name>",
   "CertificateProfileName":"<Certificate Profile Name>"
   }
   

3. Rufen Sie das Stammzertifikat ab, das Sie dem Vertrauensspeicher hinzufügen möchten:

   Get-AzCodeSigningRootCert -AccountName TestAccount -ProfileName TestCertProfile -EndpointUrl https://xxx.codesigning.azure.net/ -Destination c:\temp\root.cer
   

   Wenn Sie eine metadata.json Datei verwenden, führen Sie stattdessen den folgenden Befehl aus:

   Get-AzCodeSigningRootCert -MetadataFilePath C:\temp\metadata.json https://xxx.codesigning.azure.net/ -Destination c:\temp\root.cer 
   

4. So rufen Sie die EKU (Erweiterte Schlüsselverwendung) zum Einfügen in Ihre Richtlinie auf:

   Get-AzCodeSigningCustomerEku -AccountName TestAccount -ProfileName TestCertProfile -EndpointUrl https://xxx.codesigning.azure.net/ 
   

   Wenn Sie eine metadata.json Datei verwenden, führen Sie stattdessen den folgenden Befehl aus:

   Get-AzCodeSigningCustomerEku -MetadataFilePath C:\temp\metadata.json 
   

5. Um Ihre Richtlinie zu signieren, führen Sie den invoke Befehl aus:

   Invoke-AzCodeSigningCIPolicySigning -accountName TestAccount -profileName TestCertProfile -endpointurl "https://xxx.codesigning.azure.net/" -Path C:\Temp\defaultpolicy.bin -Destination C:\Temp\defaultpolicy_signed.bin -TimeStamperUrl: http://timestamp.acs.microsoft.com 
   

   Wenn Sie eine metadata.json Datei verwenden, führen Sie stattdessen den folgenden Befehl aus:

   Invoke-AzCodeSigningCIPolicySigning -MetadataFilePath C:\temp\metadata.json -Path C:\Temp\defaultpolicy.bin -Destination C:\Temp\defaultpolicy_signed.bin -TimeStamperUrl: http://timestamp.acs.microsoft.com 
   

Erstellen und Bereitstellen einer CI-Richtlinie

Schritte zum Erstellen und Bereitstellen Ihrer CI-Richtlinie finden Sie in den folgenden Artikeln:

• Verwenden von signierten Richtlinien zum Schutz der Windows Defender-Anwendungssteuerung vor Manipulationen
• Entwurfshandbuch für Windows Defender-Anwendungssteuerung