Menandatangani kebijakan CI dengan menggunakan Penandatanganan Tepercaya

Artikel ini memperlihatkan kepada Anda cara menandatangani kebijakan integritas kode (CI) baru dengan menggunakan layanan Penandatanganan Tepercaya.

Prasyarat

Untuk menyelesaikan langkah-langkah dalam artikel ini, Anda perlu:

• Akun Penandatanganan Tepercaya, validasi identitas, dan profil sertifikat.
• Penetapan individu atau grup dari peran Penanda tanganan Sertifikat Tepercaya.
• Azure PowerShell di Windows terinstal.
• Modul Az.CodeSigning diunduh.

Menandatangani kebijakan CI

1. Buka PowerShell 7.

2. Secara opsional, Anda dapat membuat file metadata.json yang terlihat seperti contoh ini:("Endpoint" nilai URI harus URI yang selaras dengan wilayah tempat Anda membuat akun Penandatanganan Tepercaya dan profil sertifikat saat Anda menyiapkan sumber daya ini.)

   {
   "Endpoint":"https://xxx.codesigning.azure.net/",
   "CodeSigningAccountName":"<Trusted Signing Account Name>",
   "CertificateProfileName":"<Certificate Profile Name>"
   }
   

3. Dapatkan sertifikat akar yang ingin Anda tambahkan ke penyimpanan kepercayaan:

   Get-AzCodeSigningRootCert -AccountName TestAccount -ProfileName TestCertProfile -EndpointUrl https://xxx.codesigning.azure.net/ -Destination c:\temp\root.cer
   

   Jika Anda menggunakan file metadata.json , jalankan perintah ini sebagai gantinya:

   Get-AzCodeSigningRootCert -MetadataFilePath C:\temp\metadata.json https://xxx.codesigning.azure.net/ -Destination c:\temp\root.cer 
   

4. Untuk mendapatkan Extended Key Usage (EKU) untuk dimasukkan ke dalam kebijakan Anda:

   Get-AzCodeSigningCustomerEku -AccountName TestAccount -ProfileName TestCertProfile -EndpointUrl https://xxx.codesigning.azure.net/ 
   

   Jika Anda menggunakan file metadata.json , jalankan perintah ini sebagai gantinya:

   Get-AzCodeSigningCustomerEku -MetadataFilePath C:\temp\metadata.json 
   

5. Untuk menandatangani kebijakan Anda, jalankan invoke perintah :

   Invoke-AzCodeSigningCIPolicySigning -accountName TestAccount -profileName TestCertProfile -endpointurl "https://xxx.codesigning.azure.net/" -Path C:\Temp\defaultpolicy.bin -Destination C:\Temp\defaultpolicy_signed.bin -TimeStamperUrl: http://timestamp.acs.microsoft.com 
   

   Jika Anda menggunakan file metadata.json , jalankan perintah ini sebagai gantinya:

   Invoke-AzCodeSigningCIPolicySigning -MetadataFilePath C:\temp\metadata.json -Path C:\Temp\defaultpolicy.bin -Destination C:\Temp\defaultpolicy_signed.bin -TimeStamperUrl: http://timestamp.acs.microsoft.com 
   

Membuat dan menyebarkan kebijakan CI

Untuk langkah-langkah membuat dan menyebarkan kebijakan CI Anda, lihat artikel berikut ini:

• Gunakan kebijakan yang ditandatangani untuk melindungi Kontrol Aplikasi Pertahanan Windows dari perusakan
• Panduan desain Kontrol Aplikasi Pertahanan Windows