Schnellstart: Einrichten von „Vertrauensvolle Signatur“

„Vertrauensvolle Signatur“ ist ein vollständig verwalteter End-to-End-Zertifikatsignierungsdienst von Microsoft. In diesem Schnellstart erstellen Sie die folgenden drei „Vertrauensvolle Signatur“-Ressourcen, um mit „Vertrauensvolle Signatur“ zu starten:

• Ein „Vertrauensvolle Signatur“-Konto
• Eine Identitätsüberprüfung
• Ein Zertifikatprofil

Sie können entweder das Azure-Portal oder eine Azure CLI-Erweiterung verwenden, um die meisten Ihrer „Vertrauensvolle Signatur“-Ressourcen zu erstellen und zu verwalten. (Sie können die Identitätsüberprüfung ausschließlich im Azure-Portal abschließen. Sie können die Identitätsüberprüfung nicht mithilfe der Azure CLI abschließen.) In dieser Schnellstartanleitung erfahren Sie, wie dies funktioniert.

Voraussetzungen

Für die Durchführung dieses Schnellstarts benötigen Sie Folgendes:

• Eine Microsoft Entra-Mandanten-ID.

  Weitere Informationen finden Sie unter Erstellen eines Microsoft Entra-Mandanten.

• Ein Azure-Abonnement.

  Wenn Sie noch keines besitzen, befolgen Sie die Anleitung unter Erstellen eines Azure-Abonnements, bevor Sie beginnen.

Registrieren des Trusted Signing-Ressourcenanbieters

Bevor Sie „Vertrauensvolle Signatur“ verwenden können, müssen Sie zunächst den „Vertrauensvolle Signatur“-Ressourcenanbieter registrieren.

Ein Ressourcenanbieter ist ein Dienst, der Azure-Ressourcen bereitstellt. Verwenden Sie das Azure-Portal oder die Azure CLI, um den „Vertrauensvolle Signatur“-Ressourcenanbieter Microsoft.CodeSigning zu registrieren.

Azure portal

Einen „Vertrauensvolle Signatur“-Ressourcenanbieter registrieren Sie mithilfe des Azure-Portals folgendermaßen:

1. Melden Sie sich beim Azure-Portal an.

2. Wählen Sie entweder im Suchfeld oder unter Alle Dienste Abonnements aus.

3. Wählen Sie das Abonnement, in dem Sie „Vertrauensvolle Signatur“-Ressourcen erstellen möchten.

4. Wählen Sie Menü „Ressource“ unter Einstellungen Ressourcenanbieter aus.

5. Wählen Sie in der Liste der Ressourcenanbieter Microsoft.CodeSigning aus.

   Standardmäßig lautet der Status des Ressourcenanbieters NotRegistered.

   

6. Wählen Sie die Auslassungspunkte und anschließend Registrieren aus.

   

   Der Status des Ressourcenanbieters ändert sich in Registered.

Azure-Befehlszeilenschnittstelle

Einen „Vertrauensvolle Signatur“-Ressourcenanbieter registrieren Sie mithilfe der Azure CLI folgendermaßen:

1. Wenn Sie eine lokale Installation der Azure CLI verwenden, melden Sie sich mithilfe des Befehls az login an.

2. Führen Sie die in Ihrem Terminal angezeigten Schritte aus, um den Authentifizierungsprozess abzuschließen. Informationen zu anderen Anmeldeoptionen finden Sie unter Anmelden mithilfe der Azure CLI.

3. Installieren Sie die Azure CLI-Erweiterung, wenn Sie bei der ersten Verwendung dazu aufgefordert werden.

   Weitere Informationen finden Sie unter Verwenden von Erweiterungen mit der Azure CLI.

   Weitere Informationen zur Azure CLI-Erweiterung „Vertrauensvolle Signatur“ finden Sie unter „Vertrauensvolle Signatur“-Dienst.

4. Verwenden Sie den Befehl az version, um die installierten Versionen von Azure CLI und abhängigen Bibliotheken anzuzeigen.

5. Führen Sie den folgenden Befehl aus, um ein Upgrade auf die neuesten Versionen der Azure CLI und abhängiger Bibliotheken durchzuführen:

   az upgrade [--all {false, true}]
      [--allow-preview {false, true}]
       [--yes]
   

6. Verwenden Sie den Befehl az account set -s <subscription ID>, um Ihre Standardabonnement-ID festzulegen.

7. Verwenden Sie den folgenden Befehl, um einen „Vertrauensvolle Signatur“-Ressourcenanbieter zu registrieren:

   az provider register --namespace "Microsoft.CodeSigning"
   

8. Überprüfen Sie die Registrierung:

   az provider show --namespace "Microsoft.CodeSigning"
   

9. Mit dem folgenden Befehl können Sie die Erweiterung für „Vertrauensvolle Signatur“ hinzufügen:

   az extension add --name trustedsigning
   

Erstellen eines Trusted Signing-Kontos

Ein „Vertrauensvolle Signatur“-Konto ist ein logischer Container, der Ressourcen für Identitätsüberprüfung und Zertifikatprofil enthält.

Azure-Regionen mit „Vertrauensvolle Signatur“-Unterstützung

Sie können „Vertrauensvolle Signatur“-Ressourcen nur in Azure-Regionen erstellen, in denen der Dienst derzeit verfügbar ist. In der folgenden Tabelle sind die Azure-Regionen aufgeführt, die derzeit „Vertrauensvolle Signatur“-Ressourcen unterstützen:

Region	Regionsklassenfelder	Endpunkt-URI-Wert
East US	EastUS	https://eus.codesigning.azure.net
USA (Westen)	USA, Westen	https://wus.codesigning.azure.net
USA, Westen-Mitte	WestCentralUS	https://wcus.codesigning.azure.net
USA, Westen 2	WestUS2	https://wus2.codesigning.azure.net
Nordeuropa	Europa, Norden	https://neu.codesigning.azure.net
Europa, Westen	Europa, Westen	https://weu.codesigning.azure.net

Einschränkungen für Namen von „Vertrauensvolle Signatur“-Konten

Bei der Benennung von „Vertrauensvolle Signatur“-Konten sind einige Einschränkungen zu beachten.

Der Name eines „Vertrauensvolle Signatur“-Kontos muss folgende Vorgaben erfüllen:

• Er darf nur 3–24 alphanumerische Zeichen enthalten.
• Er muss global eindeutige sein.
• Er muss mit einem Buchstaben beginnen.
• Enden Sie mit einem Buchstaben oder einer Zahl.
• Er darf keine aufeinanderfolgenden Bindestriche enthalten.

Der Name eines „Vertrauensvolle Signatur“-Kontos hat folgende Eigenschaften:

• Groß-/Kleinschreibung wird nicht beachtet (es besteht beispielsweise kein Unterschied zwischen ABC und abc).
• Er wird von Azure Resource Manager abgelehnt, wenn er mit „eins“ beginnt.

Azure portal

Sie können mithilfe des Azure-Portals ein „Vertrauensvolle Signatur“-Konto folgendermaßen erstellen:

1. Melden Sie sich beim Azure-Portal an.

2. Suchen Sie nach „Vertrauensvolle Signatur“-Konten und wählen Sie diese Option aus.

   

3. Wählen Sie auf der Seite „Vertrauensvolle Signatur“-Konten die Option Erstellen aus.

4. Wählen Sie für Abonnement Ihr Azure-Abonnement aus.

5. Wählen Sie unter Ressourcengruppe: die Option Neu erstellen aus, und geben Sie einen Ressourcengruppennamen ein.

6. Geben Sie unter Kontoname einen eindeutigen Kontonamen an.

   Weitere Informationen finden Sie unter Einschränkungen für Namen von „Vertrauensvolle Signatur“-Konten.

7. Wählen Sie als Region eine Azure-Region aus, die „Vertrauensvolle Signatur“ unterstützt.

8. Wählen Sie unter Tarif: einen Tarif aus.

9. Wählen Sie die Schaltfläche Überprüfen + erstellen aus.

   

10. Nachdem Sie Ihr „Vertrauensvolle Signatur“-Konto erfolgreich erstellt haben, wählen Sie Zur Ressource wechseln aus.

Azure-Befehlszeilenschnittstelle

Sie können mithilfe der Azure CLI ein „Vertrauensvolle Signatur“-Konto folgendermaßen erstellen:

1. Erstellen Sie mit dem folgenden Befehl eine Ressourcengruppe. Wenn Sie eine vorhandene Ressourcengruppe verwenden möchten, können Sie diesen Schritt überspringen.

   az group create --name MyResourceGroup --location EastUS
   

2. Erstellen Sie mit dem folgenden Befehl ein eindeutiges „Vertrauensvolle Signatur“-Konto.

   Weitere Informationen finden Sie unter Einschränkungen für Namen von „Vertrauensvolle Signatur“-Konten.

   So erstellen Sie ein „Vertrauensvolle Signatur“-Konto mit einer Basic-SKU:

az trustedsigning create -n MeinKonto -l eastus -g MeineRessourcengruppe --sku Basic

To create a Trusted Signing account that has a Premium SKU:

```azurecli
az trustedsigning create -n MyAccount -l eastus -g MyResourceGroup --sku Premium

3. Überprüfen Sie Ihr „Vertrauensvolle Signatur“-Konto mithilfe des Befehls az trustedsigning show -g MyResourceGroup -n MyAccount.

   Hinweis

   Wenn Sie eine frühere Version der Azure CLI aus der privaten „Vertrauensvolle Signatur“-Vorschau verwenden, wird Ihr Konto standardmäßig auf die Basic-SKU festgelegt. Um die Premium-SKU zu verwenden, aktualisieren Sie entweder die Azure CLI auf die neueste Version, oder verwenden Sie zum Erstellen des Kontos das Azure-Portal.

In der folgenden Tabelle sind hilfreiche Befehle aufgeführt, die Sie beim Erstellen eines „Vertrauensvolle Signatur“-Kontos verwenden können:

Befehl	Beschreibung
az trustedsigning -h	Zeigt Hilfebefehle und detaillierten Optionen.
az trustedsigning show -n MyAccount -g MyResourceGroup	Zeigt die Details eines Kontos an.
az trustedsigning update -n MyAccount -g MyResourceGroup --tags "key1=value1 key2=value2"	Aktualisiert Tags.
az trustedsigning list -g MyResourceGroup	Listet alle Konten in einer Ressourcengruppe auf.

Erstellen einer Identitätsüberprüfungsanforderung

Sie können Ihre eigene Identitätsüberprüfung durchführen, indem Sie das Anforderungsformular mit den Informationen ausfüllen, die im Zertifikat enthalten sein müssen. Die Identitätsüberprüfung kann ausschließlich im Azure-Portal abgeschlossen werden. Sie können die Identitätsüberprüfung nicht mithilfe der Azure CLI abschließen.

Hinweis

Sie können keine Identitätsüberprüfungsanforderung erstellen, wenn Ihnen die entsprechende Rolle nicht zugewiesen ist. Wenn die Schaltfläche Neue Identität im Azure-Portal abgeblendet ist, stellen Sie sicher, dass Sie über die Rolle „Überprüfer für ‚Vertrauensvolle Signatur‘-Identität“ verfügen, um mit der Identitätsüberprüfung fortzufahren.

Identitätsüberprüfung: Organisation

So erstellen Sie eine Identitätsüberprüfungsanforderung für eine Organisation:

1. Navigieren Sie im Azure-Portal zu Ihrem neuen „Vertrauensvolle Signatur“-Konto.

2. Vergewissern Sie sich, dass Sie über die Rolle „Überprüfer für ‚Vertrauensvolle Signatur‘-Identität“ verfügen.

   Informationen zum Verwalten des Zugriffs mithilfe der rollenbasierten Zugriffssteuerung (RBAC) finden Sie unter Tutorial: Zuweisen von Rollen in „Vertrauensvolle Signatur“.

3. Wählen Sie im Bereich Übersicht des „Vertrauensvolle Signatur“-Kontos oder im Menü „Ressourcen“ unter Objekte die Option Identitätsüberprüfungen aus.

4. Wählen Sie Neue Identität und dann entweder Öffentlich oder Privat aus.

   • Die Überprüfung einer öffentlichen Identität ist auf folgende Zertifikatprofiltypen anwendbar: Public Trust, Public Trust Test, VBS Enclave.
   • Die Überprüfung einer privaten Identität ist auf folgende Zertifikatprofiltypen anwendbar: Private Trust, Private Trust CI-Richtlinie.

5. Geben Sie unter Neue Identitätsüberprüfung die folgenden Informationen an:

   Felder	Details
   Name der Organisation	Geben Sie zur Überprüfung einer öffentlichen Identität die juristische Geschäftsentität an, für die das Zertifikat ausgestellt wird. Bei der Überprüfung einer privaten Identität wird der Wert standardmäßig auf den Namen Ihrer Microsoft Entra-Mandanten festgelegt.
   Organisationseinheit (nur privater Identitätstyp)	Geben Sie die relevanten Informationen ein.
   Website-URL	Geben Sie die Website ein, die zur juristischen Geschäftsentität gehört.
   Primäre E-Mail-Adresse	Geben Sie die E-Mail-Adresse ein, die der juristischen Geschäftseinheit zugeordnet ist, die einer Überprüfung unterzogen wird. Teil des Identitätsüberprüfungsprozesses wird ein Überprüfungslink an diese E-Mail-Adresse gesendet und der Link läuft in sieben Tagen ab. Stellen Sie sicher, dass diese E-Mail-Adresse E-Mails (mit Links) von externen E-Mail-Adressen empfangen kann.
   Sekundäre E-Mail	Diese E-Mail-Adresse muss sich von der primären E-Mail-Adresse unterscheiden. Bei Organisationen muss die Domäne mit der E-Mail-Adresse übereinstimmen, die als primäre E-Mail-Adresse angegeben ist. Stellen Sie sicher, dass diese E-Mail-Adresse E-Mails von externen E-Mail-Adressen empfangen kann, die Links enthalten.
   Geschäftsbezeichner	Geben Sie einen Geschäftsbezeichner für die juristische Geschäftsentität ein.
   Verkäufer-ID	Gilt nur für Microsoft Store-Kunden. Suchen Sie im Partner Center-Portal nach Ihrer Verkäufer-ID.
   Straße, Ort, Land, Bundesland, Postleitzahl	Geben Sie die Geschäftsadresse der juristischen Geschäftsentität ein.

6. Wählen Sie Zertifikatantragsteller-Vorschau aus, um eine Vorschau der Informationen zu sehen, die im Zertifikat angezeigt werden.

7. Wählen Sie Ich akzeptiere die Nutzungsbedingungen von Microsoft für „Vertrauensvolle Signatur“-Dienste. Sie können die Nutzungsbedingungen herunterladen, um sie zu überprüfen oder zu speichern.

8. Wählen Sie die Schaltfläche Erstellen.

9. Nach der erfolgreichen Erstellung der Anforderung ändert sich der Status der Identitätsüberprüfungsanforderung in In Bearbeitung.

10. Wenn zusätzliche Dokumente erforderlich sind, wird eine E-Mail gesendet, und der Status der Anforderung ändert sich in Aktion erforderlich.

11. Wenn der Prozess der Identitätsüberprüfung abgeschlossen ist, ändert sich der Status der Anforderung, und es wird eine E-Mail mit dem aktualisierten Status der Anforderung gesendet:

• Der Status lautet Abgeschlossen, wenn der Prozess erfolgreich abgeschlossen wurde.
• Der Status lautet Fehlgeschlagen, wenn der Prozess nicht erfolgreich abgeschlossen wurde.

Wichtige Informationen zur Überprüfung einer öffentlichen Identität

Anforderungen	Details
Onboarding	Ein Onboarding für „Vertrauensvolle Signatur“ kann derzeit nur für juristische Geschäftsentitäten durchgeführt werden, die über eine nachweisbare Steuerhistorie von mindestens drei Jahren verfügen. Stellen Sie für einen beschleunigten Onboardingprozess sicher, dass öffentliche Datensätze für die zu überprüfende juristische Geschäftseinheit auf dem neuesten Stand sind.
Genauigkeit	Vergewissern Sie sich, dass Sie die richtigen Informationen für die Überprüfung der öffentlichen Identität angeben. Wenn Sie nach der Erstellung Änderungen vornehmen müssen, müssen Sie eine neue Identitätsüberprüfungsanforderung durchführen. Diese Änderung wirkt sich auf die zugeordneten Zertifikate aus, die zum Signieren verwendet werden.
Fehlgeschlagene E-Mail-Überprüfung	Wenn die E-Mail-Überprüfung fehlschlägt, müssen Sie eine neue Identitätsüberprüfungsanforderung initiieren.
Identitätsüberprüfungsstatus	Sie werden per E-Mail benachrichtigt, wenn ein Update zum Identitätsüberprüfungsstatus vorhanden ist. Sie können den Status auch jederzeit im Azure-Portal überprüfen.
Verarbeitungszeit	Die Verarbeitung Ihrer Identitätsüberprüfungsanforderung dauert zwischen einem und sieben Werktagen (möglicherweise länger, wenn wir weitere Informationen von Ihnen anfordern müssen).
Weitere Dokumentation	Sie werden per E-Mail benachrichtigt, wenn wir zusätzliche Informationen benötigen, um die Identitätsüberprüfungsanforderung zu verarbeiten. Sie können die Dokumente im Azure-Portal hochladen. Die E-Mail mit der Bitte um weitere Informationen enthält Informationen zu den Anforderungen an die Dateigröße. Stellen Sie sicher, dass alle von Ihnen bereitgestellten Dokumente auf dem neuesten Stand sind. - Alle eingereichten Dokumente müssen innerhalb der vorherigen 12 Monate ausgestellt werden oder wenn das Ablaufdatum ein zukünftiges Datum ist, muss es mindestens zwei Monate entfernt ist. - Wenn es nicht möglich ist, zusätzliche Unterlagen einzureichen, aktualisiere bitte deine Kontoinformationen, damit sie mit den bereits eingereichten rechtlichen Dokumenten oder den offiziellen Angaben zu deinem Unternehmen übereinstimmen. - Wenn Sie ein offizielles Geschäftsdokument vorlegen, z. B. ein Formular zur Unternehmensregistrierung, eine Unternehmenssatzung oder eine Gründungsurkunde, in der der Name und die Adresse des Unternehmens so aufgeführt sind, wie sie zum Zeitpunkt der Erstellung der Anforderung zur Identitätsprüfung angegeben wurden. - Vergewissern Sie sich, dass die Domainregistrierung oder die Rechnung über die Registrierung oder Erneuerung der Domain den Namen des Unternehmens/Kontakts und die Domain so aufführt, wie sie in der Anforderung angegeben sind.

Identitätsüberprüfung: Einzelentwickler

So erstellen Sie eine Identitätsüberprüfungsanforderung für einzelne Entwickler

1. Navigieren Sie im Azure-Portal zu Ihrem neuen „Vertrauensvolle Signatur“-Konto.

2. Vergewissern Sie sich, dass Sie über die Rolle „Überprüfer für ‚Vertrauensvolle Signatur‘-Identität“ verfügen.

   Informationen zum Verwalten des Zugriffs mithilfe der rollenbasierten Zugriffssteuerung (RBAC) finden Sie unter Tutorial: Zuweisen von Rollen in „Vertrauensvolle Signatur“.

3. Wählen Sie im Bereich Übersicht des Kontos für „Vertrauensvolle Signatur“ oder im Menü „Ressourcen“ unter Objekte die Option Identitätsüberprüfungen aus.

4. Wählen Sie Organisation, anschließend in der Dropdownliste Einzel und dann Öffentlich aus.

   • Die Überprüfung einer öffentlichen Identität ist auf folgende Zertifikatprofiltypen anwendbar: Public Trust, Public Trust Test, VBS-Enklave.
   • Private Identitätsüberprüfungen sind nur für Organisationen möglich.

5. Geben Sie unter Neue Identitätsüberprüfung die folgenden Informationen an:

   Felder	Details
   Vorname	Verwenden Sie für den Identitätsüberprüfungsprozess den genauen Namen, wie er in Ihrem von einer Behörde ausgestellten Identifikationsdokument angegeben ist.
   Nachname:	Verwenden Sie für den Identitätsüberprüfungsprozess den genauen Namen, wie er in Ihrem von einer Behörde ausgestellten Identifikationsdokument angegeben ist.
   Primäre E-Mail-Adresse	Geben Sie die E-Mail-Adresse ein, an die der Link zur Identitätsüberprüfung gesendet werden soll. Stellen Sie beim Anmelden beim Microsoft-Konto sicher, dass Sie für den Zugriff auf die Identitätsüberprüfung über den Link dieselbe E-Mail-Adresse verwenden.
   Straße, Ort, Land, Bundesland, Postleitzahl	Geben Sie die Adresse so ein, wie sie in Ihrem von einer Behörde ausgestellten Identifikationsdokument oder einer Versorgerabrechnung bzw. einem Kontoauszug angezeigt wird. Die Stadt, das Bundesland und das Land der hier eingegebenen Adresse werden auf dem Zertifikat angezeigt.

6. Wählen Sie Zertifikatantragsteller-Vorschau aus, um eine Vorschau der Informationen zu sehen, die im Zertifikat angezeigt werden.

• Ihre E-Mail-Adresse und Ihre Postanschrift sind standardmäßig nicht im Zertifikat enthalten.

7. Wählen Sie Ich akzeptiere die Nutzungsbedingungen von Microsoft für „Vertrauensvolle Signatur“-Dienste. Sie können die Nutzungsbedingungen herunterladen, um sie zu überprüfen oder zu speichern.
8. Wählen Sie die Schaltfläche Erstellen.
9. Nach der erfolgreichen Erstellung der Anforderung ändert sich der Status der Identitätsüberprüfungsanforderung in In Bearbeitung.
10. Wenn der Status in Aktion erforderlich geändert wird. Wählen Sie Ihren Namen aus, um auf der rechten Seite ein Blatt zu öffnen. Wählen Sie den Link unter „Schließen Sie Ihre Überprüfung hier ab“ aus.
11. Folgen Sie dem Link, um den Identitätsüberprüfungsprozess abzuschließen. Verwenden Sie die bei der Anforderung bereitgestellte E-Mail-Adresse, um ein Microsoft-Konto zu erstellen. Geben Sie die Anmeldeinformationen ein, wenn Sie dazu aufgefordert werden. Sie werden anschließend zum nächsten Bildschirm weitergeleitet.
12. Wählen Sie Start unter „Vertrauenswürdiger Partner > Au10tix“ aus, um den Validierungsprozess zu starten. Sie werden zur Website eines Drittanbieters weitergeleitet.
13. Sie müssen den Prozess auf Ihrem mobilen Gerät abschließen und nach Aufforderung die entsprechende Dokumente präsentieren.
14. Öffnen Sie auf Ihrem mobilen Gerät die Authenticator-App, und wählen Sie „Überprüfte IDs“ aus. Rechts unten wird der QR-Code blau angezeigt. Klicken Sie darauf.
15. Wählen Sie im Azure-Portal den Link aus, den Sie zum Durchführen der Identitätsüberprüfung verwendet haben, und scannen Sie den QR-Code unter „Überprüfte ID präsentieren“ mit Ihrem mobilen Gerät. Damit wird der Vorgang abgeschlossen. Bei erfolgreichem Abschluss lautet die Meldung: Überprüfung erfolgreich.

16. Es dauert einige Minuten, bis der Identitätsüberprüfungsstatus im Azure-Portal aktualisiert wird. Bei einer erfolgreich überprüften ID ändert sich der Status im Azure-Portal in Abgeschlossen.

Wichtige Informationen zur Überprüfung einer öffentlichen Identität für Einzelpersonen

1. Mindestanforderungen für mobile Betriebssysteme und unterstützte Browser:

2. Zulässige ID-Typen:

• Von Behörden ausgestellte IDs wie Reisepässe, Führerscheine oder Personalausweise
• Foto-IDs (oder eine US-Sozialversicherungskarte)
• Offizielle, von Behörden ausgestellte IDs wie Reisepass, Führerschein oder Personalausweis
• Übermitteln Sie keine privat ausgestellten IDs wie Bibliothekskarten, Schülerausweise, Clubmitgliedschaftskarten usw.

3. Sichtbarkeit/Wenig Licht/Viel Licht:

• Verwenden Sie keinen Blitz.
• Platzieren Sie das Ausweisdokument nicht in direktem Sonnenlicht.
• Halten Sie die Kamera oder das mobile Gerät ruhig, während Sie das Bild aufnehmen.

4. Bewährte Methoden für ergänzende Dokumente:

• Strom-, Wasser-, Gas- oder Telefonrechnungen (aktuell, in der Regel aus den letzten drei Monaten)
• Kontoauszüge: offizielle Auszüge von Banken oder Kreditkartenunternehmen mit der Adresse der Person
• Das PoA-Dokument (Proof-of-Authority) muss die Adresse, den Namen und das Datum auf der Hauptseite (erste Seite) enthalten, sodass nicht mehrere Seiten erforderlich sind.

5. Allgemeine bewährte Methoden:

• Ein Bild pro Datei; falls zweiseitig, erstellen Sie eine Datei pro Seite.
• Handschriftliche Dokumente werden nicht akzeptiert.
• Schneiden Sie das Bild nicht zu (abgeschnittene Ecken, fehlende Teile), und versuchen Sie, bei der Aufnahme Ränder an allen Seiten des aufgenommenen Bilds zu lassen.
• Verwenden Sie nicht Photoshop oder andere Bearbeitungssoftware; ändern Sie das Dokument nicht auf irgendeine Weise.
• Verwenden Sie keinen Blitz.
• Nehmen Sie das Foto direkt über dem Dokument auf, während es auf einer flachen Oberfläche liegt.
• Vermeiden Sie farbige und bunte Hintergründe.
• Verdecken Sie das Dokument nicht (keine Finger auf einem Teil des Dokuments).
• Verwenden Sie Farbbilder mit nicht weniger als 200 DPI. Die ideale Bildgröße beträgt 500 kBit. AU10TIX akzeptiert als bewährte Methode Bilder von mindestens 400 DPI.
• Die Mindestbildgröße für ein annehmbares Ergebnis beträgt 600 × 370 Pixel (Breite × Höhe).
• Akzeptierte Dateitypen: .bmp, .jpg, .gif, .tif, .pdf.
• Benutzer können keine Bilder hochladen, die kleiner als 30 kBit oder größer als 5 MB sind.

Erstellen eines Zertifikatprofils

Eine Zertifikatprofilressource ist der logische Container der Zertifikate, die Ihnen zum Signieren ausgestellt werden.

Einschränkungen für Namen von Zertifikatprofilen

Bei der Benennung von Zertifikatprofilen sind einige Einschränkungen zu beachten.

Der Name eines Zertifikatprofils muss folgende Vorgaben erfüllen:

• Er darf nur 5–100 alphanumerische Zeichen enthalten.
• Der Name muss mit einem Buchstaben beginnen und mit einem Buchstaben oder einer Ziffer enden, und er darf keine aufeinander folgenden Bindestriche enthalten.
• Er muss innerhalb des Kontos eindeutig sein.

Der Name eines Zertifikatprofils hat folgende Eigenschaften:

• Er befindet sich durch standardmäßige Vererbung in derselben Azure-Region wie das Konto.
• Groß-/Kleinschreibung wird nicht beachtet (es besteht beispielsweise kein Unterschied zwischen ABC und abc).

Azure portal

Ein Zertifikatprofil im Azure-Portal erstellen Sie folgendermaßen:

1. Navigieren Sie im Azure-Portal zu Ihrem neuen „Vertrauensvolle Signatur“-Konto.

2. Wählen Sie im Bereich Übersicht des „Vertrauensvolle Signatur“-Kontos oder im Menü „Ressourcen“ unter Objekte die Option Zertifikatprofile aus.

3. Wählen Sie auf der Befehlsleiste Erstellen und dann einen Zertifikatprofiltyp aus.

   

4. Geben Sie unter Zertifikatprofil erstellen die folgenden Informationen ein:

   a. Geben Sie einen eindeutigen Namen für den Namen des Zertifikatprofils ein.

   Weitere Informationen finden Sie unter Einschränkungen für Namen von Zertifikatprofilen.

   Der Wert für Zertifikattyp wird basierend auf dem ausgewählten Zertifikatprofiltyp automatisch ausgefüllt.

   b. Wählen Sie als Überprüfte CN und O eine Identitätsüberprüfung aus, die auf dem Zertifikat angezeigt werden muss.

   • Wenn die Straße auf dem Zertifikat angezeigt werden muss, aktivieren Sie das Kontrollkästchen Straße einschließen.

   • Wenn die Postleitzahl auf dem Zertifikat angezeigt werden muss, aktivieren Sie das Kontrollkästchen Postleitzahl einschließen.

     Die Werte in den übrigen Feldern werden basierend auf Ihrer Auswahl für Überprüfte CN und O automatisch ausgefüllt.

     Eine generierte Zertifikatantragsteller-Vorschau zeigt die Vorschau des auszustellenden Zertifikats an.

5. Klicken Sie auf Erstellen.

   

Azure-Befehlszeilenschnittstelle

Voraussetzungen

Sie benötigen die Identitätsüberprüfungs-ID für die Entität, für die das Zertifikatprofil erstellt wird. Führen Sie die folgenden Schritte aus, um Ihre Identitätsüberprüfungs-ID im Azure-Portal zu finden.

1. Navigieren Sie im Azure-Portal zu Ihrem „Vertrauensvolle Signatur“-Konto.

2. Wählen Sie im Bereich Übersicht des „Vertrauensvolle Signatur“-Kontos oder im Menü „Ressourcen“ unter Objekte die Option Identitätsüberprüfungen aus.

3. Wählen Sie den Link für die relevante Entität aus. Im Bereich Identitätsüberprüfung können Sie den Wert für Identitätsüberprüfungs-ID kopieren.

   

Mithilfe der Azure CLI können Sie ein Zertifikatprofil folgendermaßen erstellen:

1. Erstellen Sie mit dem folgenden Befehl ein Zertifikatprofil:

   az trustedsigning certificate-profile create -g MyResourceGroup --a
   account-name MyAccount -n MyProfile --profile-type PublicTrust --identity-validation-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
   

   Weitere Informationen finden Sie unter Einschränkungen für Namen von Zertifikatprofilen.

2. Erstellen Sie mit dem folgenden Befehl ein Zertifikatprofil, das optionale Felder (Straße oder Postleitzahl) im Antragstellernamen des Zertifikats enthält:

az trustedsigning certificate-profile create -g MeineRessourcengruppe --account-name MeinKonto -n MeinProfil --profile-type PublicTrust --identity-validation-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx --include-street true

3. Verify that you successfully created a certificate profile by using the following command:

```azurecli
az trustedsigning certificate-profile show -g myRG --account-name MyAccount -n  MyProfile

In der folgenden Tabelle sind hilfreiche Befehle aufgeführt, die Sie verwenden können, wenn Sie ein Zertifikatprofil mithilfe der Azure CLI erstellen möchten:

Befehl	Beschreibung
az trustedsigning certificate-profile create -–help	Zeigt Hilfe zu Beispielbefehlen und detaillierten Parameterbeschreibungen an.
az trustedsigning certificate-profile list -g MyResourceGroup --account-name MyAccount	Listet alle Zertifikatprofile auf, die einem „Vertrauensvolle Signatur“-Konto zugeordnet sind.
az trustedsigning certificate-profile show -g MyResourceGroup --account-name MyAccount -n MyProfile	Ruft die Details für ein Zertifikatprofil ab.

Bereinigen von Ressourcen

Azure portal

So löschen Sie mithilfe des Azure-Portals eine „Vertrauensvolle Signatur“-Ressource:

Löschen eines Zertifikatprofils

1. Navigieren Sie im Azure-Portal zu Ihrem „Vertrauensvolle Signatur“-Konto.
2. Wählen Sie im Bereich Übersicht des „Vertrauensvolle Signatur“-Kontos oder im Menü „Ressourcen“ unter Objekte die Option Zertifikatprofile aus.
3. Wählen Sie unter Zertifikatprofile das Zertifikatprofil aus, das Sie löschen möchten.
4. Wählen Sie in der Befehlsleiste Löschen aus.

Hinweis

Mit dieser Aktion werden sämtliche Signierungsvorgänge gestoppt, die dem entsprechenden Zertifikatprofil zugeordnet sind.

Löschen eines „Vertrauensvolle Signatur“-Kontos

1. Melden Sie sich beim Azure-Portal an.
2. Geben Sie im Suchfeld „Vertrauensvolle Signatur“-Konten ein, und wählen Sie diese Option aus.
3. Wählen Sie unter Vertrauensvolle Signatur-Konten das „Vertrauensvolle Signatur“-Konto aus, das Sie löschen möchten.
4. Wählen Sie in der Befehlsleiste Löschen aus.

Hinweis

Mit dieser Aktion werden alle Zertifikatprofile entfernt, die mit diesem Konto verknüpft sind. Sämtliche Signierungsvorgänge, die den Zertifikatprofilen zugeordnet sind, werden gestoppt.

Azure-Befehlszeilenschnittstelle

So löschen Sie mithilfe der Azure CLI eine „Vertrauensvolle Signatur“-Ressource:

Löschen eines Zertifikatprofils

Führen Sie den folgenden Befehl aus, um ein „Vertrauensvolle Signatur“-Zertifikatprofil zu löschen:

az trustedsigning certificate-profile delete -g MyResourceGroup --account-name MyAccount -n MyProfile

Hinweis

Mit dieser Aktion werden sämtliche Signierungsvorgänge gestoppt, die dem entsprechenden Zertifikatprofil zugeordnet sind.

Löschen eines „Vertrauensvolle Signatur“-Kontos

Sie können die Azure CLI verwenden, um eine „Vertrauensvolle Signatur“-Ressource zu löschen.

Führen Sie den folgenden Befehl aus, um ein „Vertrauensvolle Signatur“-Konto zu löschen:

az trustedsigning delete -n MyAccount -g MyResourceGroup

Hinweis

Mit dieser Aktion werden alle Zertifikatprofile entfernt, die mit diesem Konto verknüpft sind. Sämtliche Signierungsvorgänge, die den Zertifikatprofilen zugeordnet sind, werden gestoppt.

Zugehöriger Inhalt

In diesem Schnellstart haben Sie ein „Vertrauensvolle Signatur“-Konto, eine Identitätsüberprüfungsanforderung und ein Zertifikatprofil erstellt. Weitere Informationen zum „Vertrauensvolle Signatur“-Dienst und zu ersten Schritten finden Sie in den folgenden Artikeln:

• Erfahren Sie mehr über Signaturintegrationen.
• Erfahren Sie mehr über die Vertrauensmodelle, die „Vertrauensvolle Signatur“ unterstützt.
• Erfahren Sie mehr über die Zertifikatverwaltung.
• Hilfe bei Ihrem Setup benötigt:
  • Wenden Sie sich über das Azure-Portal an den Azure-Support.
  • Veröffentlichen Sie Ihre Frage auf Stack Overflow oder Microsoft Q&A, verwenden Sie das Tag: vertrauenswürdige Signatur.
    • Probleme mit der Identitätsüberprüfung können nur bei Stack Overflow oder Microsoft Q&A behoben werden.