Freigeben über


Schnellstart: Einrichten von „Vertrauensvolle Signatur“

„Vertrauensvolle Signatur“ ist ein vollständig verwalteter End-to-End-Zertifikatsignierungsdienst von Microsoft. In diesem Schnellstart erstellen Sie die folgenden drei „Vertrauensvolle Signatur“-Ressourcen, um mit „Vertrauensvolle Signatur“ zu starten:

  • Ein „Vertrauensvolle Signatur“-Konto
  • Eine Identitätsüberprüfung
  • Ein Zertifikatprofil

Sie können entweder das Azure-Portal oder eine Azure CLI-Erweiterung verwenden, um die meisten Ihrer „Vertrauensvolle Signatur“-Ressourcen zu erstellen und zu verwalten. (Sie können die Identitätsüberprüfung ausschließlich im Azure-Portal abschließen. Sie können die Identitätsüberprüfung nicht mithilfe der Azure CLI abschließen.) In dieser Schnellstartanleitung erfahren Sie, wie dies funktioniert.

Voraussetzungen

Für die Durchführung dieses Schnellstarts benötigen Sie Folgendes:

Registrieren des Trusted Signing-Ressourcenanbieters

Bevor Sie „Vertrauensvolle Signatur“ verwenden können, müssen Sie zunächst den „Vertrauensvolle Signatur“-Ressourcenanbieter registrieren.

Ein Ressourcenanbieter ist ein Dienst, der Azure-Ressourcen bereitstellt. Verwenden Sie das Azure-Portal oder die Azure CLI, um den „Vertrauensvolle Signatur“-Ressourcenanbieter Microsoft.CodeSigning zu registrieren.

Einen „Vertrauensvolle Signatur“-Ressourcenanbieter registrieren Sie mithilfe des Azure-Portals folgendermaßen:

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie entweder im Suchfeld oder unter Alle Dienste Abonnements aus.

  3. Wählen Sie das Abonnement, in dem Sie „Vertrauensvolle Signatur“-Ressourcen erstellen möchten.

  4. Wählen Sie Menü „Ressource“ unter Einstellungen Ressourcenanbieter aus.

  5. Wählen Sie in der Liste der Ressourcenanbieter Microsoft.CodeSigning aus.

    Standardmäßig lautet der Status des Ressourcenanbieters NotRegistered.

    Screenshot, der zeigt, wie sich der Microsoft.CodeSigning-Ressourcenanbieter für ein Abonnement finden lässt.

  6. Wählen Sie die Auslassungspunkte und anschließend Registrieren aus.

    Screenshot, der den Microsoft.CodeSigning-Ressourcenanbieter als registriert zeigt.

    Der Status des Ressourcenanbieters ändert sich in Registered.

Erstellen eines Trusted Signing-Kontos

Ein „Vertrauensvolle Signatur“-Konto ist ein logischer Container, der Ressourcen für Identitätsüberprüfung und Zertifikatprofil enthält.

Azure-Regionen mit „Vertrauensvolle Signatur“-Unterstützung

Sie können „Vertrauensvolle Signatur“-Ressourcen nur in Azure-Regionen erstellen, in denen der Dienst derzeit verfügbar ist. In der folgenden Tabelle sind die Azure-Regionen aufgeführt, die derzeit „Vertrauensvolle Signatur“-Ressourcen unterstützen:

Region Regionsklassenfelder Endpunkt-URI-Wert
East US EastUS https://eus.codesigning.azure.net
USA (Westen) USA, Westen https://wus.codesigning.azure.net
USA, Westen-Mitte WestCentralUS https://wcus.codesigning.azure.net
USA, Westen 2 WestUS2 https://wus2.codesigning.azure.net
Nordeuropa Europa, Norden https://neu.codesigning.azure.net
Europa, Westen Europa, Westen https://weu.codesigning.azure.net

Einschränkungen für Namen von „Vertrauensvolle Signatur“-Konten

Bei der Benennung von „Vertrauensvolle Signatur“-Konten sind einige Einschränkungen zu beachten.

Der Name eines „Vertrauensvolle Signatur“-Kontos muss folgende Vorgaben erfüllen:

  • Er darf nur 3–24 alphanumerische Zeichen enthalten.
  • Er muss global eindeutige sein.
  • Er muss mit einem Buchstaben beginnen.
  • Enden Sie mit einem Buchstaben oder einer Zahl.
  • Er darf keine aufeinanderfolgenden Bindestriche enthalten.

Der Name eines „Vertrauensvolle Signatur“-Kontos hat folgende Eigenschaften:

  • Groß-/Kleinschreibung wird nicht beachtet (es besteht beispielsweise kein Unterschied zwischen ABC und abc).
  • Er wird von Azure Resource Manager abgelehnt, wenn er mit „eins“ beginnt.

Sie können mithilfe des Azure-Portals ein „Vertrauensvolle Signatur“-Konto folgendermaßen erstellen:

  1. Melden Sie sich beim Azure-Portal an.

  2. Suchen Sie nach „Vertrauensvolle Signatur“-Konten und wählen Sie diese Option aus.

    Screenshot, der die Suche nach „Vertrauensvolle Signatur“-Konten im Azure-Portal zeigt.

  3. Wählen Sie auf der Seite „Vertrauensvolle Signatur“-Konten die Option Erstellen aus.

  4. Wählen Sie für Abonnement Ihr Azure-Abonnement aus.

  5. Wählen Sie unter Ressourcengruppe: die Option Neu erstellen aus, und geben Sie einen Ressourcengruppennamen ein.

  6. Geben Sie unter Kontoname einen eindeutigen Kontonamen an.

    Weitere Informationen finden Sie unter Einschränkungen für Namen von „Vertrauensvolle Signatur“-Konten.

  7. Wählen Sie als Region eine Azure-Region aus, die „Vertrauensvolle Signatur“ unterstützt.

  8. Wählen Sie unter Tarif: einen Tarif aus.

  9. Wählen Sie die Schaltfläche Überprüfen + erstellen aus.

    Screenshot, der das Erstellen eines „Vertrauensvolle Signatur“-Kontos zeigt.

  10. Nachdem Sie Ihr „Vertrauensvolle Signatur“-Konto erfolgreich erstellt haben, wählen Sie Zur Ressource wechseln aus.

Erstellen einer Identitätsüberprüfungsanforderung

Sie können Ihre eigene Identitätsüberprüfung durchführen, indem Sie das Anforderungsformular mit den Informationen ausfüllen, die im Zertifikat enthalten sein müssen. Die Identitätsüberprüfung kann ausschließlich im Azure-Portal abgeschlossen werden. Sie können die Identitätsüberprüfung nicht mithilfe der Azure CLI abschließen.

Hinweis

Sie können keine Identitätsüberprüfungsanforderung erstellen, wenn Ihnen die entsprechende Rolle nicht zugewiesen ist. Wenn die Schaltfläche Neue Identität im Azure-Portal abgeblendet ist, stellen Sie sicher, dass Sie über die Rolle „Überprüfer für ‚Vertrauensvolle Signatur‘-Identität“ verfügen, um mit der Identitätsüberprüfung fortzufahren.

Sie können eine Identitätsüberprüfungsanforderung folgendermaßen erstellen:

  1. Navigieren Sie im Azure-Portal zu Ihrem neuen „Vertrauensvolle Signatur“-Konto.

  2. Vergewissern Sie sich, dass Sie über die Rolle „Überprüfer für ‚Vertrauensvolle Signatur‘-Identität“ verfügen.

    Informationen zum Verwalten des Zugriffs mithilfe der rollenbasierten Zugriffssteuerung (RBAC) finden Sie unter Tutorial: Zuweisen von Rollen in „Vertrauensvolle Signatur“.

  3. Wählen Sie im Bereich Übersicht des „Vertrauensvolle Signatur“-Kontos oder im Menü „Ressourcen“ unter Objekte die Option Identitätsüberprüfungen aus.

  4. Wählen Sie Neue Identität und dann entweder Öffentlich oder Privat aus.

    • Die Überprüfung einer öffentlichen Identität ist auf folgende Zertifikatprofiltypen anwendbar: Public Trust, Public Trust Test, VBS Enclave.
    • Die Überprüfung einer privaten Identität ist auf folgende Zertifikatprofiltypen anwendbar: Private Trust, Private Trust CI-Richtlinie.
  5. Geben Sie unter Neue Identitätsüberprüfung die folgenden Informationen an:

    Felder Details
    Name der Organisation Geben Sie zur Überprüfung einer öffentlichen Identität die juristische Geschäftsentität an, für die das Zertifikat ausgestellt wird. Bei der Überprüfung einer privaten Identität wird der Wert standardmäßig auf den Namen Ihrer Microsoft Entra-Mandanten festgelegt.
    Organisationseinheit (nur privater Identitätstyp) Geben Sie die relevanten Informationen ein.
    Website-URL Geben Sie die Website ein, die zur juristischen Geschäftsentität gehört.
    Primäre E-Mail-Adresse Geben Sie die E-Mail-Adresse ein, die der juristischen Geschäftseinheit zugeordnet ist, die einer Überprüfung unterzogen wird. Teil des Identitätsüberprüfungsprozesses wird ein Überprüfungslink an diese E-Mail-Adresse gesendet und der Link läuft in sieben Tagen ab. Stellen Sie sicher, dass diese E-Mail-Adresse E-Mails (mit Links) von externen E-Mail-Adressen empfangen kann.
    Sekundäre E-Mail Diese E-Mail-Adresse muss sich von der primären E-Mail-Adresse unterscheiden. Bei Organisationen muss die Domäne mit der E-Mail-Adresse übereinstimmen, die als primäre E-Mail-Adresse angegeben ist. Stellen Sie sicher, dass diese E-Mail-Adresse E-Mails von externen E-Mail-Adressen empfangen kann, die Links enthalten.
    Geschäftsbezeichner Geben Sie einen Geschäftsbezeichner für die juristische Geschäftsentität ein.
    Verkäufer-ID Gilt nur für Microsoft Store-Kunden. Suchen Sie im Partner Center-Portal nach Ihrer Verkäufer-ID.
    Straße, Ort, Land, Bundesland, Postleitzahl Geben Sie die Geschäftsadresse der juristischen Geschäftsentität ein.
  6. Wählen Sie Zertifikatantragsteller-Vorschau aus, um eine Vorschau der Informationen zu sehen, die im Zertifikat angezeigt werden.

  7. Wählen Sie Ich akzeptiere die Nutzungsbedingungen von Microsoft für „Vertrauensvolle Signatur“-Dienste. Sie können die Nutzungsbedingungen herunterladen, um sie zu überprüfen oder zu speichern.

  8. Wählen Sie die Schaltfläche Erstellen.

  9. Nach der erfolgreichen Erstellung der Anforderung ändert sich der Status der Identitätsüberprüfungsanforderung in In Bearbeitung.

  10. Wenn zusätzliche Dokumente erforderlich sind, wird eine E-Mail gesendet, und der Status der Anforderung ändert sich in Aktion erforderlich.

  11. Wenn der Prozess der Identitätsüberprüfung abgeschlossen ist, ändert sich der Status der Anforderung, und es wird eine E-Mail mit dem aktualisierten Status der Anforderung gesendet:

  • Der Status lautet Abgeschlossen, wenn der Prozess erfolgreich abgeschlossen wurde.
  • Der Status lautet Fehlgeschlagen, wenn der Prozess nicht erfolgreich abgeschlossen wurde.

Screenshot, der die Option „Öffentlich“ im Bereich „Neue Identitätsüberprüfung“ zeigt.

Screenshot, der die Option „Privat“ im Bereich „Neue Identitätsüberprüfung“ zeigt.

Wichtige Informationen zur Überprüfung einer öffentlichen Identität

Anforderungen Details
Onboarding Ein Onboarding für „Vertrauensvolle Signatur“ kann derzeit nur für juristische Geschäftsentitäten durchgeführt werden, die über eine nachweisbare Steuerhistorie von mindestens drei Jahren verfügen. Stellen Sie für einen beschleunigten Onboardingprozess sicher, dass öffentliche Datensätze für die zu überprüfende juristische Geschäftseinheit auf dem neuesten Stand sind.
Genauigkeit Vergewissern Sie sich, dass Sie die richtigen Informationen für die Überprüfung der öffentlichen Identität angeben. Wenn Sie nach der Erstellung Änderungen vornehmen müssen, müssen Sie eine neue Identitätsüberprüfungsanforderung durchführen. Diese Änderung wirkt sich auf die zugeordneten Zertifikate aus, die zum Signieren verwendet werden.
Fehlgeschlagene E-Mail-Überprüfung Wenn die E-Mail-Überprüfung fehlschlägt, müssen Sie eine neue Identitätsüberprüfungsanforderung initiieren.
Identitätsüberprüfungsstatus Sie werden per E-Mail benachrichtigt, wenn ein Update zum Identitätsüberprüfungsstatus vorhanden ist. Sie können den Status auch jederzeit im Azure-Portal überprüfen.
Verarbeitungszeit Die Verarbeitung Ihrer Identitätsüberprüfungsanforderung dauert zwischen einem und sieben Werktagen (möglicherweise länger, wenn wir weitere Informationen von Ihnen anfordern müssen).
Weitere Dokumentation Sie werden per E-Mail benachrichtigt, wenn wir zusätzliche Informationen benötigen, um die Identitätsüberprüfungsanforderung zu verarbeiten. Sie können die Dokumente im Azure-Portal hochladen. Die E-Mail mit der Bitte um weitere Informationen enthält Informationen zu den Anforderungen an die Dateigröße. Stellen Sie sicher, dass alle von Ihnen bereitgestellten Dokumente auf dem neuesten Stand sind.
- Alle eingereichten Dokumente müssen innerhalb der vorherigen 12 Monate ausgestellt werden oder wenn das Ablaufdatum ein zukünftiges Datum ist, muss es mindestens zwei Monate entfernt ist.
- Wenn es nicht möglich ist, zusätzliche Unterlagen einzureichen, aktualisiere bitte deine Kontoinformationen, damit sie mit den bereits eingereichten rechtlichen Dokumenten oder den offiziellen Angaben zu deinem Unternehmen übereinstimmen.
- Wenn Sie ein offizielles Geschäftsdokument vorlegen, z. B. ein Formular zur Unternehmensregistrierung, eine Unternehmenssatzung oder eine Gründungsurkunde, in der der Name und die Adresse des Unternehmens so aufgeführt sind, wie sie zum Zeitpunkt der Erstellung der Anforderung zur Identitätsprüfung angegeben wurden.
- Vergewissern Sie sich, dass die Domainregistrierung oder die Rechnung über die Registrierung oder Erneuerung der Domain den Namen des Unternehmens/Kontakts und die Domain so aufführt, wie sie in der Anforderung angegeben sind.

Erstellen eines Zertifikatprofils

Eine Zertifikatprofilressource ist der logische Container der Zertifikate, die Ihnen zum Signieren ausgestellt werden.

Einschränkungen für Namen von Zertifikatprofilen

Bei der Benennung von Zertifikatprofilen sind einige Einschränkungen zu beachten.

Der Name eines Zertifikatprofils muss folgende Vorgaben erfüllen:

  • Er darf nur 5–100 alphanumerische Zeichen enthalten.
  • Der Name muss mit einem Buchstaben beginnen und mit einem Buchstaben oder einer Ziffer enden, und er darf keine aufeinander folgenden Bindestriche enthalten.
  • Er muss innerhalb des Kontos eindeutig sein.

Der Name eines Zertifikatprofils hat folgende Eigenschaften:

  • Er befindet sich durch standardmäßige Vererbung in derselben Azure-Region wie das Konto.
  • Groß-/Kleinschreibung wird nicht beachtet (es besteht beispielsweise kein Unterschied zwischen ABC und abc).

Ein Zertifikatprofil im Azure-Portal erstellen Sie folgendermaßen:

  1. Navigieren Sie im Azure-Portal zu Ihrem neuen „Vertrauensvolle Signatur“-Konto.

  2. Wählen Sie im Bereich Übersicht des „Vertrauensvolle Signatur“-Kontos oder im Menü „Ressourcen“ unter Objekte die Option Zertifikatprofile aus.

  3. Wählen Sie auf der Befehlsleiste Erstellen und dann einen Zertifikatprofiltyp aus.

    Screenshot, der die „Vertrauensvolle Signatur“-Zertifikatprofiltypen zeigt, aus denen Sie auswählen können.

  4. Geben Sie unter Zertifikatprofil erstellen die folgenden Informationen ein:

    a. Geben Sie einen eindeutigen Namen für den Namen des Zertifikatprofils ein.

    Weitere Informationen finden Sie unter Einschränkungen für Namen von Zertifikatprofilen.

    Der Wert für Zertifikattyp wird basierend auf dem ausgewählten Zertifikatprofiltyp automatisch ausgefüllt.

    b. Wählen Sie als Überprüfte CN und O eine Identitätsüberprüfung aus, die auf dem Zertifikat angezeigt werden muss.

    • Wenn die Straße auf dem Zertifikat angezeigt werden muss, aktivieren Sie das Kontrollkästchen Straße einschließen.

    • Wenn die Postleitzahl auf dem Zertifikat angezeigt werden muss, aktivieren Sie das Kontrollkästchen Postleitzahl einschließen.

      Die Werte in den übrigen Feldern werden basierend auf Ihrer Auswahl für Überprüfte CN und O automatisch ausgefüllt.

      Eine generierte Zertifikatantragsteller-Vorschau zeigt die Vorschau des auszustellenden Zertifikats an.

  5. Klicken Sie auf Erstellen.

    Screenshot, der den Bereich „Zertifikatprofil erstellen“ zeigt.

Bereinigen von Ressourcen

So löschen Sie mithilfe des Azure-Portals eine „Vertrauensvolle Signatur“-Ressource:

Löschen eines Zertifikatprofils

  1. Navigieren Sie im Azure-Portal zu Ihrem „Vertrauensvolle Signatur“-Konto.
  2. Wählen Sie im Bereich Übersicht des „Vertrauensvolle Signatur“-Kontos oder im Menü „Ressourcen“ unter Objekte die Option Zertifikatprofile aus.
  3. Wählen Sie unter Zertifikatprofile das Zertifikatprofil aus, das Sie löschen möchten.
  4. Wählen Sie in der Befehlsleiste Löschen aus.

Hinweis

Mit dieser Aktion werden sämtliche Signierungsvorgänge gestoppt, die dem entsprechenden Zertifikatprofil zugeordnet sind.

Löschen eines „Vertrauensvolle Signatur“-Kontos

  1. Melden Sie sich beim Azure-Portal an.
  2. Geben Sie im Suchfeld „Vertrauensvolle Signatur“-Konten ein, und wählen Sie diese Option aus.
  3. Wählen Sie unter Vertrauensvolle Signatur-Konten das „Vertrauensvolle Signatur“-Konto aus, das Sie löschen möchten.
  4. Wählen Sie in der Befehlsleiste Löschen aus.

Hinweis

Mit dieser Aktion werden alle Zertifikatprofile entfernt, die mit diesem Konto verknüpft sind. Sämtliche Signierungsvorgänge, die den Zertifikatprofilen zugeordnet sind, werden gestoppt.

In diesem Schnellstart haben Sie ein „Vertrauensvolle Signatur“-Konto, eine Identitätsüberprüfungsanforderung und ein Zertifikatprofil erstellt. Weitere Informationen zum „Vertrauensvolle Signatur“-Dienst und zu ersten Schritten finden Sie in den folgenden Artikeln: