Menandatangani kebijakan CI dengan menggunakan Penandatanganan Tepercaya
Artikel ini memperlihatkan kepada Anda cara menandatangani kebijakan integritas kode (CI) baru dengan menggunakan layanan Penandatanganan Tepercaya.
Prasyarat
Untuk menyelesaikan langkah-langkah dalam artikel ini, Anda perlu:
- Akun Penandatanganan Tepercaya, validasi identitas, dan profil sertifikat.
- Penetapan individu atau grup dari peran Penanda tanganan Sertifikat Tepercaya.
- Azure PowerShell di Windows terinstal.
- Modul Az.CodeSigning diunduh.
Menandatangani kebijakan CI
Buka PowerShell 7.
Secara opsional, Anda dapat membuat file metadata.json yang terlihat seperti contoh ini:(
"Endpoint"nilai URI harus URI yang selaras dengan wilayah tempat Anda membuat akun Penandatanganan Tepercaya dan profil sertifikat saat Anda menyiapkan sumber daya ini.){ "Endpoint":"https://xxx.codesigning.azure.net/", "CodeSigningAccountName":"<Trusted Signing Account Name>", "CertificateProfileName":"<Certificate Profile Name>" }Dapatkan sertifikat akar yang ingin Anda tambahkan ke penyimpanan kepercayaan:
Get-AzCodeSigningRootCert -AccountName TestAccount -ProfileName TestCertProfile -EndpointUrl https://xxx.codesigning.azure.net/ -Destination c:\temp\root.cerJika Anda menggunakan file metadata.json , jalankan perintah ini sebagai gantinya:
Get-AzCodeSigningRootCert -MetadataFilePath C:\temp\metadata.json https://xxx.codesigning.azure.net/ -Destination c:\temp\root.cerUntuk mendapatkan Extended Key Usage (EKU) untuk dimasukkan ke dalam kebijakan Anda:
Get-AzCodeSigningCustomerEku -AccountName TestAccount -ProfileName TestCertProfile -EndpointUrl https://xxx.codesigning.azure.net/Jika Anda menggunakan file metadata.json , jalankan perintah ini sebagai gantinya:
Get-AzCodeSigningCustomerEku -MetadataFilePath C:\temp\metadata.jsonUntuk menandatangani kebijakan Anda, jalankan
invokeperintah :Invoke-AzCodeSigningCIPolicySigning -accountName TestAccount -profileName TestCertProfile -endpointurl "https://xxx.codesigning.azure.net/" -Path C:\Temp\defaultpolicy.bin -Destination C:\Temp\defaultpolicy_signed.bin -TimeStamperUrl: http://timestamp.acs.microsoft.comJika Anda menggunakan file metadata.json , jalankan perintah ini sebagai gantinya:
Invoke-AzCodeSigningCIPolicySigning -MetadataFilePath C:\temp\metadata.json -Path C:\Temp\defaultpolicy.bin -Destination C:\Temp\defaultpolicy_signed.bin -TimeStamperUrl: http://timestamp.acs.microsoft.com
Membuat dan menyebarkan kebijakan CI
Untuk langkah-langkah membuat dan menyebarkan kebijakan CI Anda, lihat artikel berikut ini:
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk