Gestire i limiti di attendibilità dei pacchetti

  • Articolo

Non sono richieste azioni specifiche per l'installazione di pacchetti firmati. Tuttavia, se il contenuto è stato modificato dopo la firma, l'installazione viene bloccata con l'errore NU3008.

Avviso

I pacchetti firmati con certificati non attendibili vengono considerati non firmati e installati senza eventuali avvisi o errori come qualsiasi altro pacchetto non firmato.

Configurare i requisiti di firma del pacchetto

Nota

Richiede NuGet 4.9.0+ e Visual Studio 15.9 o versioni successive su Windows

Per configurare come i client NuGet verificano le firme dei pacchetti, impostare signatureValidationMode su require nel file nuget.config utilizzando il comando nuget config.

nuget.exe config -set signatureValidationMode=require

  <config>
    <add key="signatureValidationMode" value="require" />
  </config>

Questa modalità verifica che tutti i pacchetti siano firmati da uno dei certificati attendibili nel file nuget.config. Questo file consente di specificare gli autori e/o i repository attendibili in base all'impronta digitale del certificato.

Considerare attendibile l'autore del pacchetto

Per considerare attendibili i pacchetti in base alla firma dell'autore, usare il comando trusted-signers per impostare la proprietà author in nuget.config.

nuget.exe  trusted-signers Add -Name MyCompanyCert -CertificateFingerprint CE40881FF5F0AD3E58965DA20A9F571EF1651A56933748E1BF1C99E537C4E039 -FingerprintAlgorithm SHA256

<trustedSigners>
  <author name="MyCompanyCert">
    <certificate fingerprint="CE40881FF5F0AD3E58965DA20A9F571EF1651A56933748E1BF1C99E537C4E039" hashAlgorithm="SHA256" allowUntrustedRoot="false" />
  </author>
</trustedSigners>

Suggerimento

Usare il comando verify di nuget.exe per ottenere il valore SHA256 dell'impronta digitale del certificato.

Considerare attendibili tutti i pacchetti di un archivio

Per considerare attendibili i pacchetti in base alla firma del repository, usare l'elemento repository:

<trustedSigners>  
  <repository name="nuget.org" serviceIndex="https://api.nuget.org/v3/index.json">
    <certificate fingerprint="0E5F38F57DC1BCC806D8494F4F90FBCEDD988B4676070...." 
                  hashAlgorithm="SHA256" 
                allowUntrustedRoot="false" />
  </repository>
</trustedSigners>

Considerare attendibili i proprietari del pacchetto

Le firme di repository includono metadati aggiuntivi che consentono di determinare i proprietari del pacchetto al momento dell'invio. È possibile limitare i pacchetti provenienti da un repository in funzione di un elenco di proprietari:

<trustedSigners>  
  <repository name="nuget.org" serviceIndex="https://api.nuget.org/v3/index.json">
    <certificate fingerprint="0E5F38F57DC1BCC806D8494F4F90FBCEDD988B4676070...." 
                  hashAlgorithm="SHA256" 
                allowUntrustedRoot="false" />
      <owners>microsoft;nuget</owners>
  </repository>
</trustedSigners>

Se un pacchetto ha più proprietari e uno di questi è presente nell'elenco degli elementi attendibili, l'installazione del pacchetto avrà esito positivo.

Certificati radice non attendibili

In alcune situazioni può essere opportuno abilitare la verifica usando certificati non concatenati a una radice attendibile del computer locale. Per personalizzare questo comportamento è possibile usare l'attributo allowUntrustedRoot.

Sincronizzazione dei certificati del repository

I repository dei pacchetti devono annunciare i certificati usati nel loro indice dei servizi. Prima o poi, il repository aggiornerà questi certificati, ad esempio, allo scadere del certificato. Quando ciò avviene, i client con criteri specifici richiederanno un aggiornamento della configurazione per includere il certificato appena aggiunto. I firmatari attendibili associati a un repository possono essere aggiornati facilmente usando il nuget.execomando trusted-signers sync.

Riferimento schema

Il riferimento allo schema completo per i criteri client è reperibile in nuget.config reference (Informazioni di riferimento su nuget.config)