Condividi tramite

Guida introduttiva: Configurare Firma attendibile

  • Articolo

Firma attendibile è un servizio di firma dei certificati end-to-end completamente gestito da Microsoft. In questa guida introduttiva verranno create le tre risorse di Firma attendibile seguenti necessarie per iniziare a usare il servizio:

  • Un account di Firma attendibile
  • Una convalida dell’identità
  • Un profilo certificato

È possibile usare il portale di Azure o un'estensione dell'interfaccia della riga di comando di Azure per creare e gestire la maggior parte delle risorse di Firma attendibile. È possibile completare la convalida dell’identità solo nel portale di Azure. Non è possibile completare la convalida dell'identità usando l'interfaccia della riga di comando di Azure. Questa guida introduttiva mostra come effettuare le operazioni seguenti.

Prerequisiti

Per completare l'esercitazione introduttiva, sono necessari gli elementi seguenti:

Registrare il provider di risorse di Firma attendibile

Prima di usare Firma attendibile, è necessario registrare il relativo provider di risorse.

Un provider di risorse è un servizio che fornisce le risorse di Azure. Usare il portale di Azure o l'interfaccia della riga di comando di Azure per registrare Microsoft.CodeSigning come provider di risorse di Firma attendibile.

Per registrare un provider di risorse di Firma attendibile tramite il portale di Azure:

  1. Accedere al portale di Azure.

  2. Nella casella di ricerca o in Tutti i serviziselezionare Sottoscrizioni.

  3. Selezionare la sottoscrizione in cui creare le risorse di Firma attendibile.

  4. Nel menu di sinistra, selezionare Impostazioni e quindi scegliere Provider di risorse.

  5. Nell'elenco dei provider di risorse selezionare Microsoft.CodeSigning.

    Per impostazione predefinita, lo stato del provider di risorse è NotRegistered.

    Screenshot che mostra come individuare un provider di risorse Microsoft.CodeSigning per una sottoscrizione.

  6. Selezionare i puntini di sospensione e quindi scegliere Registra.

    Screenshot che mostra che il provider di risorse Microsoft.CodeSigning è stato registrato.

    Lo stato del provider di risorse cambia in Registrato.

Creare un account di Firma attendibile

Un account di Firma attendibile è un contenitore logico che contiene le risorse della convalida dell'identità e del profilo certificato.

Aree di Azure che supportano Firma attendibile

È possibile creare risorse di Firma attendibile solo nelle aree di Azure in cui il servizio è attualmente disponibile. La tabella seguente elenca le aree di Azure che attualmente supportano le risorse di Firma attendibile:

Paese Campi della classe dell'area Valore URI dell'endpoint
Stati Uniti orientali EastUS https://eus.codesigning.azure.net
Stati Uniti occidentali WestUS https://wus.codesigning.azure.net
Stati Uniti centro-occidentali WestCentralUS https://wcus.codesigning.azure.net
West US 2 Stati Uniti occidentali 2 https://wus2.codesigning.azure.net
Europa settentrionale NorthEurope https://neu.codesigning.azure.net
Europa occidentale Europa occidentale https://weu.codesigning.azure.net

Vincoli di denominazione per gli account di Firma attendibile

I nomi degli account di Firma attendibile devono rispettare alcuni vincoli.

Un nome di account di Firma attendibile deve:

  • Contenere da 3 a 24 caratteri alfanumerici.
  • Avere un ID univoco globale.
  • Iniziare con una lettera.
  • Deve terminare con una lettera o un numero.
  • Non contenere trattini consecutivi.

Un nome di account di Firma attendibile:

  • Non distingue tra maiuscole e minuscole (ABC è uguale a abc).
  • Viene rifiutato da Azure Resource Manager se inizia con "uno".

Per creare un account di Firma attendibile tramite il portale di Azure:

  1. Accedere al portale di Azure.

  2. Cercare e quindi selezionare Account di Firma attendibile.

    Screenshot che mostra la ricerca di account di Firma attendibile nel portale di Azure.

  3. Nel riquadro Account di Firma attendibile selezionare Crea.

  4. Per Sottoscrizione selezionare la sottoscrizione di Azure.

  5. In Gruppo di risorse selezionare Crea nuovo e quindi immettere un nome per il gruppo di risorse.

  6. In Nome account immettere un nome account univoco.

    Per altre informazioni, vedere Vincoli di denominazione per gli account di Firma attendibile.

  7. In Area selezionare un'area di Azure che supporta Firma attendibile.

  8. In Prezzi selezionare un piano tariffario.

  9. Selezionare il pulsante Rivedi e crea.

    Screenshot che mostra la creazione di un account di Firma attendibile.

  10. Dopo aver creato correttamente l'account di Firma attendibile, selezionare Passa alla risorsa.

Creare una richiesta di convalida dell’identità

È possibile completare la convalida dell'identità compilando il modulo di richiesta con le informazioni che devono essere incluse nel certificato. La convalida dell’identità può essere completata solo nel portale di Azure. Non è possibile completare la convalida dell'identità tramite l'interfaccia della riga di comando di Azure.

Nota

Non è possibile creare una richiesta di convalida dell'identità se non è stato assegnato il ruolo appropriato. Se il pulsante Nuova identità sulla barra dei menu viene visualizzato in grigio nel portale di Azure, assicurarsi di essere assegnati al ruolo di verifier di identità di Firma attendibile per procedere con la convalida dell'identità.

Per creare una richiesta di convalida dell'identità:

  1. Nel portale di Azure passare al nuovo account di Firma attendibile.

  2. Verificare di aver assegnato il ruolo di verifier di identità di Firma attendibile.

    Per informazioni su come gestire l'accesso tramite il controllo degli accessi in base al ruolo, vedere Esercitazione: Assegnare ruoli in Firma attendibile.

  3. Nel riquadro Panoramica dell'account di Firma attendibile o in Oggetti nel menu delle risorse selezionare Convalide delle identità.

  4. Selezionare Nuova identitàe quindi Pubblica o Privata.

    • La convalida dell'identità pubblica si applica solo a questi tipi di profilo certificato: Attendibilità pubblica, Test dell’attendibilità pubblica, VSB Enclave.
    • La convalida dell'identità privata si applica solo a questi tipi di profilo certificato: Attendibilità privata, Criteri CI di attendibilità privata.

  5. In Nuova convalida dell'identità specificare le informazioni seguenti:

    Campi Dettagli
    Nome organizzazione Per la convalida dell'identità pubblica, specificare la persona giuridica commerciale a cui verrà rilasciato il certificato. Per la convalida dell'identità privata, il valore predefinito è il nome del tenant di Microsoft Entra.
    (solo tipo di identità privata) Unità organizzativa Immettere le informazioni pertinenti.
    URL del sito Web Immettere il sito Web che appartiene alla persona giuridica commerciale.
    Indirizzo di posta elettronica principale Immettere l'indirizzo di posta elettronica associato alla persona giuridica commerciale in fase di convalida. Nell’ambito del processo di convalida dell'identità, viene inviato un collegamento di verifica a tale indirizzo di posta elettronica che scade dopo sette giorni. Assicurarsi che l'indirizzo di posta elettronica possa ricevere messaggi di posta elettronica (con collegamenti) da indirizzi di posta elettronica esterni.
    Indirizzo di posta elettronica secondario Questo indirizzo di posta elettronica deve essere diverso dall'indirizzo di posta elettronica principale. Per le organizzazioni, il dominio deve corrispondere all'indirizzo di posta elettronica fornito nell'indirizzo di posta elettronica principale. Assicurarsi che l'indirizzo di posta elettronica possa ricevere messaggi di posta elettronica da indirizzi di posta elettronica esterni con collegamenti.
    Identificatore aziendale Immettere un identificatore aziendale per la persona giuridica commerciale.
    ID venditore Si applica solo ai clienti di Microsoft Store. Trovare l'ID venditore nel portale del Centro per i partner.
    Via, Città. Paese. Stato e Codice postale Immettere l'indirizzo aziendale della persona giuridica commerciale.

  6. Selezionare Anteprima dell'oggetto certificato per visualizzare l'anteprima delle informazioni visualizzate nel certificato.

  7. Selezionare Accetto le condizioni per l'utilizzo di Microsoft per i servizi di Firma attendibile. È possibile scaricare le Condizioni per l'utilizzo per esaminarle o salvarle.

  8. Selezionare il pulsante Crea.

  9. Se la richiesta è stata creata correttamente, lo stato della richiesta di convalida dell'identità cambia in In corso.

  10. Se sono necessari altri documenti, viene inviato un messaggio di posta elettronica e lo stato della richiesta cambia in Azione richiesta.

  11. Al termine del processo di convalida dell'identità, lo stato della richiesta cambia e viene inviato un messaggio di posta elettronica con lo stato aggiornato della richiesta:

  • Completata se il processo è stato completato correttamente.
  • Operazione non riuscita se il processo non è stato completato correttamente.

Screenshot che mostra l'opzione Pubblica nel riquadro Nuova convalida identità.

Screenshot che mostra l'opzione Privata nel riquadro Nuova convalida dell'identità.

Informazioni importanti sulla convalida dell'identità pubblica

Requisiti Dettagli
Onboarding Attualmente Firma attendibile è in grado di eseguire l'onboarding solo di persone giuridiche commerciali con una cronologia fiscale verificabile di tre o più anni. Per un processo di onboarding più rapido, assicurarsi che i record pubblici della persona giuridica commerciale convalidata siano aggiornati.
Accuratezza Assicurarsi di fornire le informazioni corrette per la convalida dell'identità pubblica. Per apportare modifiche dopo la creazione, è necessario completare una nuova richiesta di convalida dell'identità. Questa modifica influisce sui certificati associati usati per la firma.
Verifica tramite posta elettronica non riuscita Se la verifica tramite posta elettronica ha esito negativo, è necessario creare una nuova richiesta di convalida dell'identità.
Stato della convalida dell'identità Gli aggiornamenti dello stato della convalida dell’identificati vengono notificati per posta elettronica. È anche possibile controllare lo stato nel portale di Azure in qualsiasi momento.
Tempi di elaborazione L'elaborazione della richiesta di convalida dell'identità richiede da 1 a 7 giorni lavorativi (o talvolta più tempo se è necessario richiedere ulteriore documentazione all'utente).
Documentazione aggiuntiva Se è necessaria ulteriore documentazione per elaborare la richiesta di convalida dell'identità, si riceve una notifica tramite posta elettronica. È possibile caricare i documenti nel portale di Azure. Il messaggio di posta elettronica di richiesta della documentazione contiene informazioni sui requisiti relativi alle dimensioni dei file. Assicurarsi che tutti i documenti forniti siano i più aggiornati.
- Tutti i documenti inviati devono essere stati rilasciati entro i 12 mesi precedenti o avere una data di scadenza futura non inferiore a due mesi.
- Se non è possibile fornire la documentazione aggiuntiva, aggiornare le informazioni sull'account in modo che corrispondano ai documenti legali già forniti o ai dettagli ufficiali della registrazione dell'azienda.
- Quando si fornisce un documento aziendale ufficiale, ad esempio un modulo di registrazione aziendale, uno statuto aziendale o l’atto costitutivo verificare che il nome e l'indirizzo della società elencati nel documento corrispondano a quelli specificati al momento della creazione della richiesta di convalida dell'identità.
- Assicurarsi che la registrazione del dominio o la fattura della registrazione o dell’aggiornamento del dominio riporti il nome dell’entità/il contatto e il dominio indicati nella richiesta.

Creare un profilo del certificato

Una risorsa profilo certificato è il contenitore logico dei certificati rilasciati per la firma.

Vincoli di denominazione per i profili certificato

I nomi dei profili certificato devono rispettare alcuni vincoli.

Il nome del profilo certificato deve:

  • Contenere da 5 a 100 caratteri alfanumerici.
  • Iniziare con una lettera, terminare con una lettera o un numero e non contenere trattini consecutivi.
  • Essere univoci all'interno dell'account.

Il nome del profilo certificato:

  • Deve trovarsi nella stessa area di Azure dell'account, che eredita per impostazione predefinita.
  • Non distingue tra maiuscole e minuscole (ABC è uguale a abc).

Per creare un profilo certificato nel portale di Azure:

  1. Nel portale di Azure passare al nuovo account di Firma attendibile.

  2. Nel riquadro Panoramica dell'account di Firma attendibile o in Oggetti nel menu delle risorse selezionareProfili certificato.

  3. Sulla barra dei comandi selezionare Crea e selezionare un tipo di profilo certificato.

    Screenshot che mostra i tipi di profilo certificato di Firma attendibile tra cui scegliere.

  4. In Crea profilo certificato specificare le informazioni seguenti:

    a. In Nome del profilo certificato immettere un nome univoco.

    Per altre informazioni, vedere Vincoli di denominazione per i profili certificato.

    Il valore di Tipo di certificato viene popolato automaticamente in base al tipo di profilo certificato selezionato.

    b. In CN e O verificati selezionare una convalida dell'identità che deve essere visualizzata nel certificato.

    • Se l'indirizzo deve essere visualizzato nel certificato, selezionare la casella di controllo Includi indirizzo stradale.

    • Se il codice postale deve essere visualizzato nel certificato, selezionare la casella di controllo Includi codice postale.

      I valori dei campi rimanenti vengono popolati automaticamente in base alla selezione di CN e O verificati.

      Un'anteprima dell'oggetto del certificato generato mostra l'anteprima del certificato che verrà emesso.

  5. Seleziona Crea.

    Screenshot che mostra il riquadro Crea profilo certificato.

Pulire le risorse

Per eliminare le risorse di Firma attendibile tramite il portale di Azure:

Eliminare un profilo certificato

  1. Nel portale di Azure passare all'account di Firma attendibile.
  2. Nel riquadro Panoramica dell'account di Firma attendibile o in Oggetti nel menu delle risorse selezionareProfili certificato.
  3. Nell'elenco Profili certificato selezionare il profilo certificato da eliminare.
  4. Seleziona Elimina nella barra dei comandi.

Nota

Questa azione interrompe tutte le operazioni di firma associate al profilo certificato.

Eliminare un account di Firma attendibile

  1. Accedere al portale di Azure.
  2. Nella casella di ricerca immettere e quindi selezionare Account di Firma attendibile.
  3. In Account di Firma attendibile selezionare l'account di Firma attendibile da eliminare.
  4. Seleziona Elimina nella barra dei comandi.

Nota

Questa azione rimuove tutti i profili certificato collegati all’account. Tutti i processi di firma associati ai profili certificato si arrestano.

Contenuto correlato

In questa guida introduttiva sono stati creati un account di Firma attendibile, una richiesta di convalida dell'identità e un profilo certificato. Per altre informazioni su Firma attendibile e per iniziare il percorso di firma, vedere questi articoli:

  • Altre informazioni sulle integrazioni di firma.
  • Altre informazioni sui modelli di attendibilità supportati da Firma attendibile.
  • Altre informazioni sulla gestione dei certificati.
  • Se si necessita di assistenza per la configurazione:
    • Contattare il supporto tecnico di Azure tramite il portale di Azure.
    • Pubblicare la query su Stack Overflow o nelle Domande e risposte di Microsoft, usando il tag: trusted-signing.
      • I problemi di convalida delle identità possono essere risolti solo tramite Stack Overflow o le Domande e risposte di Microsoft.