クイック スタート: 信頼された署名を設定する
信頼された署名は、Microsoft が提供するフル マネージドでエンド ツー エンドの証明書署名サービスです。 このクイックスタートでは、信頼された署名の使用を開始するために、以下の 3 つの信頼された署名リソースを作成します。
- 信頼済み署名アカウント
- ID 検証
- 証明書プロファイル
ほとんどの信頼された署名リソースの作成や管理には、Azure portal または Azure CLI 拡張機能を使用できます。 (または、Azure portal のみで ID 検証を完了することもできます。Azure CLI を使用して ID 検証を完了させることはできません。)このクイックスタートでその方法について説明します。
前提条件
このクイック スタートを完了するには、次のものが必要です。
Microsoft Entra テナント ID。
詳細については、「Microsoft Entra テナントを作成する」を参照してください。
Azure サブスクリプション。
始める前に、「Azure サブスクリプションを作成する」を参照してください (まだお持ちでない場合)。
信頼された署名リソース プロバイダーを登録する
信頼された署名を使用する前に、信頼された署名リソース プロバイダーを登録する必要があります。
リソース プロバイダーは、Azure リソースを提供するサービスです。 Azure portal または Azure CLI を使用して Microsoft.CodeSigning
信頼された署名リソース プロバイダーを登録します。
Azure portal を使用して信頼された署名リソース プロバイダーを登録するには、次のようにします。
Azure portal にサインインします。
検索バーまたは [すべてのサービス] の下で、[サブスクリプション] を選択します。
信頼できる署名リソースを作成するサブスクリプションを選択します。
リソース メニューの [設定] で、[リソース プロバイダー] を選択します。
リソース プロバイダーの一覧から "Microsoft.CodeSigning" を選択します。
既定では、リソース プロバイダーの状態は "NotRegistered" です。
省略記号を選択し、[登録] を選択します。
リソース プロバイダーの状態が[登録済み] に変わります。
信頼された署名アカウントを作成する
信頼された署名アカウントは、ID 検証と証明書プロファイル リソースを持つ論理コンテナーです。
信頼された署名がサポートされている Azure リージョン
信頼された署名リソースは、サービスが現在利用できる Azure リージョン内にのみ作成する必要があります。 次の表は、現在信頼された署名リソースがサポートされている Azure リージョンの一覧です。
リージョン | リージョン クラス フィールド | エンドポイントの URI 値 |
---|---|---|
米国東部 | EastUS | https://eus.codesigning.azure.net |
米国西部 | WestUS | https://wus.codesigning.azure.net |
米国中西部 | WestCentralUS | https://wcus.codesigning.azure.net |
米国西部 2 | WestUS2 | https://wus2.codesigning.azure.net |
北ヨーロッパ | NorthEurope | https://neu.codesigning.azure.net |
西ヨーロッパ | 西ヨーロッパ | https://weu.codesigning.azure.net |
信頼された署名アカウントの名前付け制約
信頼された署名アカウント名にはいくつかの制約があります。
信頼された署名アカウントの必須事項:
- 3 - 24 文字の英数字を含む。
- グローバルに一意である。
- 文字で始める。
- 文字または数字で終了します。
- 連続するハイフンを含まない。
信頼された署名アカウント名の必須事項:
- 大文字と小文字の区別はされない (ABC は abc と同じ)。
- 「one」 で始まる場合は、Azure Resource Manager で拒否されます。
Azure portal を使用して信頼された署名アカウントを作成するには、次のようにします。
Azure portal にサインインします。
「信頼された署名アカウント」 を検索して選択します。
[信頼された署名アカウント] ウインドウで、[作成] を選択します。
[サブスクリプション] で、Azure サブスクリプションを選択します。
[リソース グループ] で [新規作成] を選択して、リソース グループ名を入力します。
[アカウント名] には、一意のアカウント名を入力します。
詳細については、「信頼された署名アカウントの名前付け制約」を参照してください。
[リージョン] で、信頼された署名をサポートする Azure リージョンを選択します。
[価格] では、価格レベルを選びます。
[確認および作成] ボタンを選択します。
信頼された署名アカウントが正常に作成されたら、[リソースに移動] を選択します。
ID 検証要求を作成する
証明書に含まれているはずの情報でリクエスト フォームを埋めることで、独自の ID 検証を実行できます。 Azure portal のみで ID 検証を完了することができます。 Azure CLI を使用して ID 検証を完了させることはできません。
Note
適切なロールが割り当てられない場合、ID 検証要求を作成することはできません。 Azure portal で [New identity] (新しい ID) ボタンが淡色表示されている場合は、ID 検証を続行するために "信頼された署名 ID 検証者ロール" が割り当てられていることを確認します。
組織の ID 検証要求を作成するには:
Azure portal で、新しい信頼された署名アカウントに移動します。
信頼された署名 ID 検証者ロールを割り当てられたことを確認します。
ロールベースのアクセス制御 (RBAC) を使用してアクセス管理を行う方法の詳細については、チュートリアル: 信頼された署名でロールを割り当てるを参照してください。
信頼された署名アカウントの [概要] ウィンドウまたはリソース メニューの [オブジェクト] で、[ID 検証] を選択します。
[新しい ID] を選択し、 [パブリック] または [プライベート] を選択します。
- パブリック ID 検証が適用される証明書プロファイルの種類は、パブリック信頼、パブリック信頼テスト、VBS エンクレーブのみです。
- プライベート ID 検証が適用される証明書プロファイルの種類は、プライベート信頼、プライベート信頼 CI ポリシーのみです。
[新しい ID 検証] で、以下の情報を入力します。
フィールド 詳細 組織名 パブリック ID 検証の場合は、証明書の発行先となる法人を指定します。 プライベート ID 検証の場合は、値はデフォルトでお使いの Microsoft Entra テナント名に設定されます。 (プライベート ID 型のみ) 組織単位 関連情報を入力します。 Web サイト URL 法人に属する Web サイトを入力します。 電子メール 1 検証中の法人に関連付けられているメール アドレスを入力します。 ID 検証プロセスの一部として、検証リンクがこのメール アドレスに送信されます。リンクの有効期限は 7 日間です。 このメール アドレスが外部メール アドレスからメール (リンクを含む) を受信できることを確認してください。 セカンダリ メール このメール アドレスは、プライマリ メール アドレスとは異なる必要があります。 組織の場合、ドメインはプライマリ メール アドレスで指定されたメール アドレスのものと一致する必要があります。 このメール アドレスが外部メール アドレスからリンクを含むメールを受信できることを確認します。 ビジネス識別子 法人のビジネス識別子を入力します。 販売者 ID Microsoft Store のお客様にのみ適用されます。 パートナー センター ポータルで自身の販売者 ID を見つけてください。 番地、都市、国、州、郵便番号 法人の所在地を入力します。 [証明書サブジェクトのプレビュー] を選択すると、証明書に表示される情報のプレビューが表示されます。
"I accept Microsoft terms of use for trusted signing services" (信頼された署名サービスに対する Microsoft の使用条件に同意します) を選択します。 使用条件はダウンロードして、確認または保存できます。
[作成] ボタンを選択します。
要求が正常に作成されると、ID 検証要求の状態が "進行中" に変わります。
追加のドキュメントが必要な場合は、電子メールが送信され、要求の状態が "アクションが必要" に変わります。
ID 検証プロセスが完了すると、要求の状態が変わり、要求の更新された状態を含む電子メールが送信されます。
- "完了": プロセスが正常に完了した場合。
- "失敗": プロセスが正常に完了していない場合。
パブリック ID 検証の重要な情報
要件 | 詳細 |
---|---|
オンボード | 現時点での信頼された署名でオンボードできるのは、3 年以上の検証可能な税金に関する履歴を持つ法人だけです。 より迅速なオンボーディング プロセスのために、検証対象の法人のパブリック レコードが最新であることを確かめます。 |
正確性 | パブリック ID 検証に対して正しい情報を提供していることを確認してください。 作成後に変更を加える必要がある場合は、新しい ID 検証要求を完了する必要があります。 この変更は、署名に使用中の関連付けられた証明書に影響します。 |
メール確認の失敗 | メール確認が失敗した場合は、新しい ID 検証要求を開始する必要があります。 |
ID 検証の状態 | ID 検証の状態に更新があると、メールで通知されます。 Azure portal でいつでも状態を確認することもできます。 |
処理時間 | ID 検証要求の処理には、1 から 7 営業日 (Microsoft がお客様からの追加のドキュメントを必要とする場合はさらに長くなる場合があります) を要します。 |
その他のドキュメント | Microsoft が ID 検証要求を処理するために追加のドキュメントが必要な場合は、メールで通知されます。 Azure portal にはドキュメントをアップロードできます。 ドキュメントの要求メールには、ファイル サイズの要件に関する情報が含まれています。 指定したドキュメントが最新であることを確認します。 - 提出されたドキュメントはすべて、過去 12 か月以内に発行されたもの、または有効期限が 2 か月以上先の将来の日付である必要があります。 - 追加のドキュメントを提供できない場合は、既に提供されている法的ドキュメントまたは正式な会社登録の詳細と一致するようにアカウント情報を更新します。 - ID 検証要求の作成時に指定された会社名と住所が記載された、ビジネス登録フォーム、ビジネス チャーター、定款などの正式なビジネス ドキュメントを提供する場合。 - ドメイン登録、または登録/更新のドメイン請求書に、要求で指定されたエンティティ/連絡先の名前とドメインがそのまま記載されていることを確認します。 |
証明書プロファイルの作成
証明書プロファイル リソースは、署名のためにお客様に対して発行される証明書の論理コンテナーです。
証明書プロファイルの名前付け制約
証明書プロファイル名にはいくつか制約があります。
証明書プロファイル名の制約:
- 5 - 100 文字の英数字を含む。
- 文字で始まり、文字または数字で終わり、連続するハイフンを含まない。
- アカウント内で一意。
証明書プロファイル名の必須事項:
- 既定を継承し、アカウントと同じ Azure リージョンにある。
- 大文字と小文字の区別はされない (ABC は abc と同じ)。
Azure portal で証明書プロファイルを作成するには:
Azure portal で、新しい信頼された署名アカウントに移動します。
信頼された署名アカウントの [概要] ウィンドウまたはリソース メニューの [オブジェクト] で、[証明書プロファイル] を選択します。
コマンド バーで、[作成] を選択し、証明書プロファイルの種類を選択します。
[証明書プロファイルの作成] で、次の情報を入力します。
a. [証明書プロファイル名] には、一意の名前を入力します。
詳細については、「証明書プロファイルの名前付け制約」を参照してください。
[証明書の種類] には選択した証明書プロファイルの種類に基づいた値が自動で入力されます。
b. [検証済み CN および O] で、証明書に表示する必要がある ID 検証を選択します。
番地を証明書に表示する必要がある場合は、[Include street address] (番地を含める) チェックボックスを選択します。
郵便番号を証明書に表示する必要がある場合は、[Include postal code (郵便番号を含める) チェックボックスを選択します。
残りのフィールドの値は、[検証済み CN および O] の選択内容に基づいて自動で入力されます。
生成された証明書サブジェクトのプレビューには、発行される証明書のプレビューが表示されます。
[作成] を選択します
リソースをクリーンアップする
Azure portal を使用して信頼された署名リソースを削除するには、次のようにします。
証明書プロファイルの削除
- Azure portal で、信頼された署名アカウントに移動します。
- 信頼された署名アカウントの [概要] ウィンドウまたはリソース メニューの [オブジェクト] で、[証明書プロファイル] を選択します。
- [証明書プロファイル] で、削除したい証明書プロファイルを選択します。
- コマンド バーで 削除 を選択します。
Note
このアクションにより、証明書プロファイルに関連付けられているすべての署名が停止されます。
信頼された署名アカウントを削除する
- Azure portal にサインインします。
- 検索ボックスで、「信頼された署名アカウント」 を検索して選択します。
- [信頼された署名アカウント] で、削除する信頼された署名アカウントを選択します。
- コマンド バーで 削除 を選択します。
Note
このアクションにより、このアカウントに紐づけられたすべての証明書プロファイルが削除されます。 証明書プロファイルに関連付けられているすべての署名プロセスが停止されます。
関連するコンテンツ
このクイックスタートでは、信頼された署名アカウント、ID 検証要求、および証明書プロファイルを作成しました。 信頼された署名の詳細と、署名を開始する方法については、以下の記事を参照してください。
- 署名の統合の詳細を確認する。
- 信頼された署名でサポートされる信頼モデルの詳細を確認する。
- 証明書管理の詳細を確認する。
- セットアップに関するサポートが必要です。
- Azure portal から Azure サポートにお問い合わせください。
- "信頼された署名" というタグを使って、Stack Overflow または Microsoft Q&A にクエリを投稿します。
- ID 検証の問題は、Stack Overflow または Microsoft Q&A でのみ対応されます。