Rövid útmutató: Megbízható aláírás beállítása

A megbízható aláírás a Microsoft teljes körűen felügyelt, teljes körű tanúsítvány-aláíró szolgáltatása. Ebben a rövid útmutatóban a következő három megbízható aláírási erőforrást hozza létre a megbízható aláírás használatának megkezdéséhez:

• Megbízható aláíró fiók
• Identitásérvényesítés
• Tanúsítványprofil

Az Azure Portal vagy egy Azure CLI-bővítmény használatával létrehozhatja és kezelheti a megbízható aláíró erőforrások többségét. (Az identitásérvényesítést csak az Azure Portalon végezheti el. Az identitásérvényesítés nem fejezhető be az Azure CLI használatával.) Ez a rövid útmutató bemutatja, hogyan.

Előfeltételek

A rövid útmutató elvégzéséhez a következőkre lesz szüksége:

• Egy Microsoft Entra-bérlőazonosító.

  További információ: Microsoft Entra-bérlő létrehozása.

• Azure-előfizetés.

  Ha még nem rendelkezik ilyen előfizetéssel, a kezdés előtt tekintse meg az Azure-előfizetés létrehozása című témakört.

A megbízható aláíró erőforrás-szolgáltató regisztrálása

A Megbízható aláírás használata előtt regisztrálnia kell a megbízható aláíró erőforrás-szolgáltatót.

Az erőforrás-szolgáltató olyan szolgáltatás, amely Azure-erőforrásokat biztosít. Az Azure Portal vagy az Azure CLI használatával regisztrálhatja a Microsoft.CodeSigning megbízható aláíró erőforrás-szolgáltatót.

Azure Portal

Megbízható aláíró erőforrás-szolgáltató regisztrálása az Azure Portal használatával:

1. Jelentkezzen be az Azure Portalra.

2. A keresőmezőben vagy a Minden szolgáltatás csoportban válassza az Előfizetések lehetőséget.

3. Válassza ki azt az előfizetést, amelyben megbízható aláírási erőforrásokat szeretne létrehozni.

4. Az erőforrás menü Beállítások területén válassza az Erőforrás-szolgáltatók lehetőséget.

5. Az erőforrás-szolgáltatók listájában válassza a Microsoft.CodeSigning lehetőséget.

   Alapértelmezés szerint az erőforrás-szolgáltató állapota Nincs regisztrálva.

   

6. Jelölje ki a három pontot, majd válassza a Regisztráció lehetőséget.

   

   Az erőforrás-szolgáltató állapota Regisztrált értékre változik.

Azure CLI

Megbízható aláíró erőforrás-szolgáltató regisztrálása az Azure CLI használatával:

1. Ha az Azure CLI helyi telepítését használja, jelentkezzen be az Azure CLI-be a az login parancs használatával.

2. A hitelesítési folyamat befejezéséhez hajtsa végre a terminálban megjelenő lépéseket. További bejelentkezési lehetőségekért tekintse meg a Bejelentkezés az Azure CLI használatával című témakört.

3. Amikor a rendszer az első használatra kéri, telepítse az Azure CLI-bővítményt.

   További információ: Bővítmények használata az Azure CLI-vel.

   A megbízható aláíró Azure CLI-bővítményről további információt a Megbízható aláíró szolgáltatás című témakörben talál.

4. Az Azure CLI és a telepített függő kódtárak verzióinak megtekintéséhez használja a az version parancsot.

5. Az Azure CLI és a függő kódtárak legújabb verzióira való frissítéshez futtassa a következő parancsot:

   az upgrade [--all {false, true}]
      [--allow-preview {false, true}]
       [--yes]
   

6. Az alapértelmezett előfizetés-azonosító beállításához használja a az account set -s <subscription ID> parancsot.

7. Megbízható aláíró erőforrás-szolgáltató regisztrálásához használja ezt a parancsot:

   az provider register --namespace "Microsoft.CodeSigning"
   

8. Ellenőrizze a regisztrációt:

   az provider show --namespace "Microsoft.CodeSigning"
   

9. A megbízható aláírás bővítményének hozzáadásához használja ezt a parancsot:

   az extension add --name trustedsigning
   

Megbízható aláíró fiók létrehozása

A megbízható aláíró fiókok olyan logikai tárolók, amelyek identitásérvényesítési és tanúsítványprofil-erőforrásokat tárolnak.

A megbízható aláírást támogató Azure-régiók

Megbízható aláírási erőforrásokat csak olyan Azure-régiókban hozhat létre, ahol a szolgáltatás jelenleg elérhető. Az alábbi táblázat azokat az Azure-régiókat sorolja fel, amelyek jelenleg támogatják a megbízható aláírási erőforrásokat:

Régió	Régióosztály mezői	Végpont URI-értéke
USA keleti régiója	USA keleti régiója	https://eus.codesigning.azure.net
USA nyugati régiója	USA nyugati régiója	https://wus.codesigning.azure.net
USA nyugati középső régiója	USA nyugati középső régiója	https://wcus.codesigning.azure.net
USA 2. nyugati régiója	USA 2. nyugati régiója	https://wus2.codesigning.azure.net
Észak-Európa	NorthEurope	https://neu.codesigning.azure.net
Nyugat-Európa	WestEurope	https://weu.codesigning.azure.net

A megbízható aláíró fiókok elnevezési korlátozásai

A megbízható aláírófiókok nevei bizonyos korlátozásokkal rendelkeznek.

A megbízható aláíró fiók nevének a következőnek kell lennie:

• 3–24 alfanumerikus karaktert tartalmaz.
• Legyen globálisan egyedi.
• Kezdje egy betűvel.
• Betűvel vagy számmal végződik.
• Nem tartalmaz egymást követő kötőjeleket.

A megbízható aláíró fiók neve a következő:

• Nem megkülönbözteti a kis- és nagybetűk megkülönböztetése (az ABC megegyezik az abc-vel).
• Az Azure Resource Manager elutasítja, ha az "egy" betűvel kezdődik.

Azure Portal

Megbízható aláíró fiók létrehozása az Azure Portal használatával:

1. Jelentkezzen be az Azure Portalra.

2. Keressen rá, majd válassza a Megbízható aláíró fiókok lehetőséget.

   

3. A Megbízható aláíró fiókok panelen válassza a Létrehozás lehetőséget.

4. Előfizetés esetén válassza ki az Azure-előfizetését.

5. Erőforráscsoport esetén válassza az Új létrehozása lehetőséget, majd adjon meg egy erőforráscsoportnevet.

6. A Fióknév mezőben adjon meg egy egyedi fióknevet.

   További információ: A megbízható aláíró fiókok elnevezési korlátozásai.

7. Régió esetén válasszon ki egy Azure-régiót, amely támogatja a megbízható aláírást.

8. A díjszabáshoz válasszon egy tarifacsomagot.

9. Válassza a Véleményezés + Létrehozás gombot.

   

10. Miután sikeresen létrehozta a megbízható aláíró fiókot, válassza az Ugrás az erőforráshoz lehetőséget.

Azure CLI

Megbízható aláíró fiók létrehozása az Azure CLI használatával:

1. Hozzon létre egy erőforráscsoportot az alábbi paranccsal. Ha meglévő erőforráscsoportot használ, hagyja ki ezt a lépést.

   az group create --name MyResourceGroup --location EastUS
   

2. Hozzon létre egy egyedi megbízható aláíró fiókot az alábbi paranccsal.

   További információ: A megbízható aláíró fiókok elnevezési korlátozásai.

   Alapszintű termékváltozatot tartalmazó megbízható aláíró fiók létrehozása:

az trustedsigning create -n MyAccount -l eastus -g MyResourceGroup --sku Basic

To create a Trusted Signing account that has a Premium SKU:

```azurecli
az trustedsigning create -n MyAccount -l eastus -g MyResourceGroup --sku Premium

3. A parancs használatával ellenőrizze a megbízható aláíró fiókját az trustedsigning show -g MyResourceGroup -n MyAccount .

   Feljegyzés

   Ha az Azure CLI egy korábbi verzióját használja a megbízható aláírás privát előzetes verziójából, a fiók alapértelmezés szerint az alapszintű termékváltozatra fog átcsoportosulni. A Prémium termékváltozat használatához frissítse az Azure CLI-t a legújabb verzióra, vagy használja az Azure Portalt a fiók létrehozásához.

Az alábbi táblázat a megbízható aláíró fiók létrehozásakor használható hasznos parancsokat sorolja fel:

Parancs	Leírás
az trustedsigning -h	Súgóparancsokat és részletes beállításokat jelenít meg.
az trustedsigning show -n MyAccount -g MyResourceGroup	Egy fiók adatait jeleníti meg.
az trustedsigning update -n MyAccount -g MyResourceGroup --tags "key1=value1 key2=value2"	Frissíti a címkéket.
az trustedsigning list -g MyResourceGroup	Az erőforráscsoportban lévő összes fiók listája.

Identitásérvényesítési kérés létrehozása

Saját identitásérvényesítést úgy végezhet el, hogy kitölti a kérelem űrlapját a tanúsítványban szereplő adatokkal. Az identitásérvényesítés csak az Azure Portalon hajtható végre. Az identitásérvényesítés nem fejezhető be az Azure CLI használatával.

Feljegyzés

Nem hozhat létre identitásérvényesítési kérelmet, ha nincs hozzárendelve a megfelelő szerepkörhöz. Ha a menüsáv Új identitás gombja halványan jelenik meg az Azure Portalon, győződjön meg arról, hogy a megbízható aláíró identitás ellenőrző szerepkörrel rendelkezik az identitásérvényesítés folytatásához.

Identitásérvényesítési kérés létrehozása:

1. Az Azure Portalon nyissa meg az új megbízható aláíró fiókját.

2. Győződjön meg arról, hogy a Megbízható aláíró identitás ellenőrző szerepkörhöz van hozzárendelve.

   A hozzáférés szerepköralapú hozzáférés-vezérléssel (RBAC) történő kezeléséről a következő oktatóanyagban olvashat : Szerepkörök hozzárendelése a megbízható aláírásban.

3. A Megbízható aláírási fiók áttekintése panelen vagy az Erőforrás menü Objektumai csoportjában válassza az Identitásérvényesítések lehetőséget.

4. Válassza az Új identitás lehetőséget, majd válassza a Nyilvános vagy a Privát lehetőséget.

   • A nyilvános identitás érvényesítése csak a következő tanúsítványprofil-típusokra vonatkozik: Nyilvános megbízhatóság, Nyilvános megbízhatósági teszt, VBS Enklávé.
   • A privát identitás érvényesítése csak a következő tanúsítványprofil-típusokra vonatkozik: Private Trust, Private Trust CI Policy.

5. Az Új identitás érvényesítésekor adja meg a következő információkat:

   Mezők	Részletek
   Szervezet neve	A nyilvános identitás érvényesítéséhez adja meg azt a jogi vállalkozást, amelyhez a tanúsítványt kibocsátják. A privát identitás érvényesítése esetén az érték alapértelmezés szerint a Microsoft Entra-bérlő neve lesz.
   (Csak privát identitástípus) Szervezeti egység	Adja meg a vonatkozó információkat.
   Webhely URL-címe	Adja meg a jogi személyhez tartozó webhelyet.
   Elsődleges e-mail	Adja meg az ellenőrzés alatt álló jogi személyhez tartozó e-mail-címet. Az identitásérvényesítési folyamat részeként a rendszer egy ellenőrző hivatkozást küld erre az e-mail-címre, és a hivatkozás hét nap múlva lejár. Győződjön meg arról, hogy az e-mail-cím külső e-mail-címekről (hivatkozásokkal) tud e-maileket fogadni.
   Másodlagos e-mail	Ennek az e-mail-címnek különböznie kell az elsődleges e-mail-címtől. Szervezetek esetén a tartománynak meg kell egyeznie az elsődleges e-mail-címben megadott e-mail-címmel. Győződjön meg arról, hogy az e-mail-cím olyan külső e-mail-címekről tud e-maileket fogadni, amelyek hivatkozásokkal rendelkeznek.
   Üzleti azonosító	Adjon meg egy üzleti azonosítót a jogi személy számára.
   Eladó azonosítója	Csak a Microsoft Store-ügyfelekre vonatkozik. Keresse meg az eladó azonosítóját a Partnerközpont portálján.
   Utca, Város, Ország, Állam, Irányítószám	Adja meg a jogi személy üzleti címét.

6. Válassza a tanúsítvány tulajdonosának előnézetét a tanúsítványban megjelenő információk előnézetének megtekintéséhez.

7. Válassza az Elfogadom a Microsoft megbízható aláíró szolgáltatásokra vonatkozó használati feltételeit. A használati feltételek letöltésével áttekintheti vagy mentheti őket.

8. Válassza a Létrehozás gombot.

9. A kérés sikeres létrehozásakor az identitásérvényesítési kérelem állapota folyamatban van.

10. Ha további dokumentumokra van szükség, a rendszer e-mailt küld, és a kérés állapota a Kötelező műveletre módosul.

11. Ha az identitásérvényesítési folyamat befejeződött, a kérés állapota megváltozik, és a rendszer e-mailt küld a kérés frissített állapotával:

• Ha a folyamat sikeresen befejeződött, befejeződött.
• Sikertelen volt , ha a folyamat nem fejeződött be sikeresen.

Fontos információk a nyilvános identitás érvényesítéséhez

Követelmények	Részletek
Előkészítés	A megbízható aláírás jelenleg csak a három vagy több éves ellenőrizhető adóelőzményekkel rendelkező jogi személyek felvételére alkalmas. A gyorsabb előkészítési folyamat érdekében győződjön meg arról, hogy az ellenőrzött jogi személy nyilvános rekordjai naprakészek.
Pontosság	Győződjön meg arról, hogy a megfelelő információkat adja meg a nyilvános identitás érvényesítéséhez. Ha a létrehozás után módosítania kell a módosításokat, egy új identitásérvényesítési kérést kell végrehajtania. Ez a módosítás az aláíráshoz használt társított tanúsítványokat érinti.
Sikertelen e-mail-ellenőrzés	Ha az e-mail-ellenőrzés sikertelen, új identitásérvényesítési kérelmet kell kezdeményeznie.
Identitásérvényesítés állapota	E-mailben értesítést kap az identitásérvényesítési állapot frissítéséről. Az állapotot bármikor ellenőrizheti az Azure Portalon.
Feldolgozási idő	Az identitásérvényesítési kérés feldolgozása 1–7 munkanapot vesz igénybe (valószínűleg hosszabb időt vesz igénybe, ha további dokumentációt kell kérnünk Öntől).
További dokumentáció	Ha további dokumentációra van szükségünk az identitásérvényesítési kérelem feldolgozásához, e-mailben értesítést kap. A dokumentumokat az Azure Portalon töltheti fel. A dokumentációs kérelem e-mail-címe információkat tartalmaz a fájlméretre vonatkozó követelményekről. Győződjön meg arról, hogy a megadott dokumentumok a legfrissebbek. - Az összes benyújtott dokumentumot az előző 12 hónapon belül kell kiállítani, vagy ha a lejárati dátum legalább két hónap múlva esedékes. - Ha nem lehet további dokumentációt megadni, frissítse a fiók adatait, hogy megfeleljen a már megadott jogi dokumentumoknak vagy a hivatalos cégregisztrációs adatainak. - Ha hivatalos üzleti dokumentumot, például cégregisztrációs űrlapot, üzleti oklevelet vagy alapító okiratot ad meg, amely felsorolja a vállalat nevét és címét, ahogyan az az identitásérvényesítési kérelem létrehozásakor meg van adva. - Győződjön meg arról, hogy a tartományregisztráció vagy a tartomány számlája a regisztrációból vagy megújításból származik, amely felsorolja az entitás/partner nevét és tartományát a kérelem állapotának megfelelően.

Tanúsítványprofil létrehozása

A tanúsítványprofil-erőforrás az aláíráshoz kibocsátott tanúsítványok logikai tárolója.

Tanúsítványprofilok elnevezési korlátozásai

A tanúsítványprofilok nevei bizonyos korlátozásokkal rendelkeznek.

A tanúsítványprofil nevének a következőnek kell lennie:

• 5–100 alfanumerikus karaktert tartalmaz.
• Kezdje betűvel, végződjön betűvel vagy számmal, és ne tartalmazzon egymást követő kötőjeleket.
• Legyen egyedi a fiókon belül.

A tanúsítványprofil neve:

• Alapértelmezés szerint ugyanabban az Azure-régióban, mint a fiók.
• Nem megkülönbözteti a kis- és nagybetűk megkülönböztetése (az ABC megegyezik az abc-vel).

Azure Portal

Tanúsítványprofil létrehozása az Azure Portalon:

1. Az Azure Portalon nyissa meg az új megbízható aláíró fiókját.

2. A Megbízható aláírási fiók áttekintése panelen vagy az Erőforrások erőforrás menüjében válassza a Tanúsítványprofilok lehetőséget.

3. A parancssávon válassza a Létrehozás lehetőséget, és válasszon ki egy tanúsítványprofil-típust.

   

4. Tanúsítványprofil létrehozásakor adja meg a következő információkat:

   a. A tanúsítványprofil neveként adjon meg egy egyedi nevet.

   További információ: A tanúsítványprofilok elnevezési korlátozásai.

   A tanúsítványtípus értékét a rendszer automatikusan feltölti a kiválasztott tanúsítványprofil-típus alapján.

   b. Ellenőrzött CN és O esetén válasszon ki egy identitásérvényesítést, amelyet meg kell jeleníteni a tanúsítványon.

   • Ha a címnek szerepelnie kell a tanúsítványon, jelölje be az Utcacím belefoglalása jelölőnégyzetet.

   • Ha az irányítószámot meg kell jeleníteni a tanúsítványon, jelölje be az Irányítószám belefoglalása jelölőnégyzetet.

     A fennmaradó mezők értékei automatikusan fel lesznek töltve az Ellenőrzött CN és az O kiválasztása alapján.

     A létrehozott tanúsítványtulajdonos előzetes verziója a kibocsátandó tanúsítvány előnézetét jeleníti meg.

5. Válassza a Létrehozás lehetőséget.

   

Azure CLI

Előfeltételek

Szüksége van annak az entitásnak az identitás-érvényesítési azonosítóra, amely számára a tanúsítványprofilt létrehozzák. Hajtsa végre ezeket a lépéseket, és keresse meg identitásérvényesítési azonosítóját az Azure Portalon.

1. Az Azure Portalon nyissa meg a megbízható aláíró fiókját.

2. A Megbízható aláírási fiók áttekintése panelen vagy az Erőforrás menü Objektumai csoportjában válassza az Identitásérvényesítések lehetőséget.

3. Válassza ki a megfelelő entitás hivatkozását. Az Identitás érvényesítése panelen másolhatja az identitásérvényesítési azonosító értékét.

   

Tanúsítványprofil létrehozása az Azure CLI használatával:

1. Hozzon létre egy tanúsítványprofilt a következő paranccsal:

   az trustedsigning certificate-profile create -g MyResourceGroup --a
   account-name MyAccount -n MyProfile --profile-type PublicTrust --identity-validation-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
   

   További információ: A tanúsítványprofilok elnevezési korlátozásai.

2. Hozzon létre egy tanúsítványprofilt, amely opcionális mezőket (utcacímet vagy irányítószámot) tartalmaz a tanúsítvány tulajdonosának nevében az alábbi paranccsal:

az trustedsigning certificate-profile create -g MyResourceGroup --account-name MyAccount -n MyProfile --profile-type PublicTrust --identity-validation-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx --include-street true

3. Verify that you successfully created a certificate profile by using the following command:

```azurecli
az trustedsigning certificate-profile show -g myRG --account-name MyAccount -n  MyProfile

Az alábbi táblázat hasznos parancsokat sorol fel, amelyeket a tanúsítványprofil Azure CLI használatával történő létrehozásakor használhat:

Parancs	Leírás
az trustedsigning certificate-profile create -–help	A mintaparancsok súgóját és részletes paraméterleírásokat jelenít meg.
az trustedsigning certificate-profile list -g MyResourceGroup --account-name MyAccount	A megbízható aláíró fiókhoz társított összes tanúsítványprofilt felsorolja.
az trustedsigning certificate-profile show -g MyResourceGroup --account-name MyAccount -n MyProfile	Lekéri egy tanúsítványprofil részleteit.

Az erőforrások eltávolítása

Azure Portal

Megbízható aláírási erőforrások törlése az Azure Portal használatával:

Tanúsítványprofil törlése

1. Az Azure Portalon nyissa meg a megbízható aláíró fiókját.
2. A Megbízható aláírási fiók áttekintése panelen vagy az Erőforrások erőforrás menüjében válassza a Tanúsítványprofilok lehetőséget.
3. A tanúsítványprofilokon válassza ki a törölni kívánt tanúsítványprofilt.
4. Válassza a parancssávon a Törlés lehetőséget.

Feljegyzés

Ez a művelet leállítja a tanúsítványprofilhoz társított aláírásokat.

Megbízható aláíró fiók törlése

1. Jelentkezzen be az Azure Portalra.
2. A keresőmezőbe írja be, majd válassza a Megbízható aláíró fiókok lehetőséget.
3. A megbízható aláíró fiókokban válassza ki a törölni kívánt megbízható aláíró fiókot.
4. Válassza a parancssávon a Törlés lehetőséget.

Feljegyzés

Ez a művelet eltávolítja a fiókhoz társított összes tanúsítványprofilt. A tanúsítványprofilokhoz társított aláírási folyamatok leállnak.

Azure CLI

Megbízható aláíró erőforrások törlése az Azure CLI használatával:

Tanúsítványprofil törlése

Megbízható aláíró tanúsítványprofil törléséhez futtassa a következő parancsot:

az trustedsigning certificate-profile delete -g MyResourceGroup --account-name MyAccount -n MyProfile

Feljegyzés

Ez a művelet leállítja a tanúsítványprofilhoz társított aláírásokat.

Megbízható aláíró fiók törlése

Az Azure CLI használatával törölheti a megbízható aláíró erőforrásokat.

Megbízható aláíró fiók törléséhez futtassa a következő parancsot:

az trustedsigning delete -n MyAccount -g MyResourceGroup

Feljegyzés

Ez a művelet eltávolítja a fiókhoz társított összes tanúsítványprofilt. A tanúsítványprofilokhoz társított aláírási folyamatok leállnak.

Kapcsolódó tartalom

Ebben a rövid útmutatóban létrehozott egy megbízható aláíró fiókot, egy identitásérvényesítési kérelmet és egy tanúsítványprofilt. A megbízható aláírásról és az aláírási folyamat megkezdéséről az alábbi cikkekben olvashat bővebben:

• További információ az aláírási integrációkról.
• További információ a megbízható aláírás által támogatott megbízhatósági modellekről.
• További információ a tanúsítványkezelésről.
• Segítségre van szüksége a beállításhoz:
  • Lépjen kapcsolatba az Azure-támogatással az Azure Portalon keresztül.
  • Tegye közzé a lekérdezést a Stack Overflow-on vagy a Microsoft Q&A-n, használja a következő címkét: megbízható aláírás.
    • Az identitásérvényesítési problémákat csak a Stack Overflow vagy a Microsoft Q&A használatával lehet elhárítani.