クイックスタート: 信頼できる署名へのオンボード
信頼された署名は、フル マネージドでエンド ツー エンドの署名サービスです。 このクイックスタートでは、以下の 3 つの信頼された署名リソースを作成します。
- 信頼済み署名アカウント
- ID 検証
- 証明書プロファイル
信頼された署名は、信頼された署名リソースを作成して管理するために、ユーザーに Azure portal と Azure CLI 拡張機能の両方のエクスペリエンスを提供しています。 ID 検証を実行できるのは Azure portal においてだけであり、Azure CLI では実行できません。
前提条件
既存の Azure テナント ID と Azure サブスクリプション。 まだ持っていない場合は、開始する前に Azure テナントを作成し、Azure サブスクリプションを作成します。
信頼された署名リソース プロバイダーを登録する
信頼された署名を使用する前に、まず信頼された署名リソース プロバイダーを登録する必要があります。
登録方法 リソース プロバイダーは、Azure リソースを提供するサービスです。 Azure portal または Azure CLI の az provider register コマンドを使用して、信頼された署名リソース プロバイダー 'Microsoft.CodeSigning' を登録します。
- Azure portal にサインインします。
- Azure portal の検索バーまたは [すべてのサービス] の下で、[サブスクリプション] を選択します。
- 信頼できる署名リソースを作成する [サブスクリプション] を選択します。
- リソース プロバイダーの一覧から Microsoft.CodeSigning を選択します。 既定では、リソース プロバイダーは NotRegistered です。
- 省略記号をクリックし、[登録] を選択します。
- 状態が [登録済み] に変わります。
信頼された署名アカウントを作成する
信頼された署名アカウントは、ID 検証と証明書プロファイル リソースの論理コンテナーです。
このリソースは、信頼された署名が現在利用できる Azure リージョン内に作成する必要があります。 信頼された署名リソースを利用できる現在の Azure リージョンについては、次の表を参照してください。
リージョン | リージョン クラス フィールド | エンドポイント URI の値 |
---|---|---|
米国東部 | EastUS | https://eus.codesigning.azure.net |
米国西部 | WestUS | https://wus.codesigning.azure.net |
米国中西部 | WestCentralUS | https://wcus.codesigning.azure.net |
米国西部 2 | WestUS2 | https://wus2.codesigning.azure.net |
北ヨーロッパ | NorthEurope | https://neu.codesigning.azure.net |
西ヨーロッパ | 西ヨーロッパ | https://weu.codesigning.azure.net |
Azure portal にサインインします。
Azure portal のメニューまたはホーム ページで、[リソースの作成] を選択します。
検索ボックスに、「信頼された署名アカウント」と入力します。
結果の一覧から、[信頼された署名アカウント] を選択します。
[信頼された署名アカウント] セクションで、[作成] を選択します。 [信頼された署名アカウントの作成] セクションが表示されます。
[サブスクリプション] プルダウン メニューで、サブスクリプションを選択します。
[リソース グループ] フィールドで、[新規作成] を選択し、リソース グループ名を入力します。
[アカウント名] フィールドに、一意のアカウント名を入力します。 (名前付けの要件については、以下の証明書プロファイルの名前付け制約を参照してください。)
[リージョン] プルダウン メニューで、リージョンを選択します。
[価格レベル] プルダウン メニューで、価格レベルを選択します。
[確認および作成] ボタンを選択します。
信頼された署名アカウントが正常に作成されたら、[リソースに移動] を選択します。
信頼された署名アカウントの名前付け制約:
- 3 から 24 文字の英数字。
- 文字で始まり、文字または数字で終わり、連続するハイフンを含まない。
- 大文字と小文字の区別はされません (“Abc” は “abc” と同じです)。
- "one" で始まるアカウント名は ARM によって拒否されます。
ID 検証要求を作成する
証明書に含まれているはずの情報でリクエスト フォームを埋めることで、独自の ID 検証を実行できます。 ID 検証を実行できるのは Azure portal においてだけであり、Azure CLI では実行できません。
ID 検証要求を作成する手順を以下に示します。
- Azure portal で新しい信頼された署名アカウントに移動します。
- 自分が信頼された署名 ID 検証者ロールを持っていることを確認します。
- ロールベースのアクセス制御 (RBAC) によるアクセス制御の詳細については、「信頼された署名でのロールの割り当て」を参照してください。
- [信頼された署名アカウントの概要] ページまたは [オブジェクト] から [ID 検証] を選択します。
- [新しい ID 検証]> [パブリックまたはプライベート] を選択します。
- パブリック ID 検証が適用される証明書プロファイルの種類は、パブリック信頼、パブリック信頼テスト、VBS エンクレーブです。
- プライベート ID 検証が適用される証明書プロファイルの種類は、プライベート信頼、プライベート信頼 CI ポリシーです。
- [新しい ID 検証] 画面で、以下の情報を入力します。
入力フィールド | 詳細 |
---|---|
組織名 | パブリック ID 検証の場合は、証明書の発行先となる法人を指定します。 プライベート ID 検証の場合は、これは既定で Azure テナント名になります。 |
(プライベート ID 型のみ) 組織単位 | 関連情報を入力します |
Web サイト URL | 法人に属する Web サイトを入力します。 |
電子メール 1 | 組織のプライマリ メール アドレスを入力します。 メール アドレスを確認するための確認リンクがこのメール アドレスに送信され、このメール アドレスが外部メール アドレスからリンクを含むメールを受信できることが確認されます。 確認リンクの有効期限は 7 日間です。 |
セカンダリ メール | これらのメール アドレスは、プライマリ メール アドレスとは異なる必要があります。 組織の場合、ドメインはプライマリ メール アドレス フィールドで指定されたメール アドレスのものと一致する必要があります。 このメール アドレスが外部メール アドレスからリンクを含むメールを受信できることを確認します。 |
ビジネス識別子 | 上記の法人のビジネス識別子を入力します。 |
販売者 ID | Microsoft Store のお客様にのみ適用されます。 パートナー センター ポータルで自身の販売者 ID を見つけてください。 |
番地、都市、国、州、郵便番号 | 法人の所在地を入力します。 |
- 証明書サブジェクトのプレビュー: プレビューでは、証明書に表示される情報のスナップショットが示されます。
- 信頼された署名の使用条件を確認してそれに同意します。 使用条件は、確認のためにダウンロードできます。
- [作成] ボタンを選択します。
- 要求が正常に作成されると、ID 検証要求の状態が "進行中" に変わります。
- 追加のドキュメントが必要な場合は、電子メールが送信され、要求の状態が "アクションが必要" に変わります。
- ID 検証プロセスが完了すると、要求の状態が変わり、要求の更新された状態を含む電子メールが送信されます。
- "完了": プロセスが正常に完了した場合。
- "失敗": プロセスが正常に完了していない場合。
パブリック ID 検証の重要な情報
要件 | 詳細 |
---|---|
オンボード | 現時点での信頼された署名でオンボードできるのは、3 年以上の検証可能な税金に関する履歴を持つ法人だけです。 より迅速なオンボーディング プロセスのために、検証対象の法人のパブリック レコードが最新であることを確かめます。 |
正確性 | パブリック ID 検証に対して正しい情報を提供していることを確認してください。 変更や入力ミスがあると、新しい ID 検証要求を実行する必要が生じ、署名に使用される関連付けられた証明書に影響が出ます。 |
その他のドキュメント | Microsoft が ID 検証要求を処理するために追加のドキュメントが必要な場合は、メールで通知されます。 ドキュメントは Azure portal でアップロードできます。 メールには、ファイル サイズの要件に関する情報が含まれています。 提供したドキュメントが最新であることを確認してください。 |
メール確認の失敗 | メール確認が失敗した場合は、新しい ID 検証要求を開始する必要があります。 |
ID 検証の状態 | ID 検証の状態に更新があると、メールで通知されます。 Azure portal でいつでも状態を確認することもできます。 |
処理時間 | ID 検証要求の処理には、1 から 7 営業日 (Microsoft がお客様からの追加のドキュメントを必要とする場合はさらに長くなる場合があります) を要するとお考えください。 |
証明書プロファイルの作成
証明書プロファイル リソースは、署名のためにお客様に対して発行される証明書の論理コンテナーです。
Azure portal で証明書プロファイルを作成するには、以下の手順に従います。
- Azure portal で新しい信頼された署名アカウントに移動します。
- [信頼された署名アカウントの概要] ページで、または [オブジェクト] から [証明書プロファイル] を選択します。
- [証明書プロファイル] で、プルダウン メニューから証明書プロファイルの種類を選択します。
- パブリック ID 検証が適用されるのは、パブリック信頼、パブリック信頼テストに対してです。
- プライベート ID 検証が適用されるのは、プライベート信頼、プライベート信頼 CI ポリシーに対してです。
- [証明書プロファイルの作成] で、次の情報を入力します: • 証明書プロファイル名: 一意の名前が必要です。 (名前付けの要件については、以下の証明書プロファイルの名前付け制約を参照してください。) • 証明書の種類: このフィールドは、選択内容に基づいて自動的に設定されます。 • [検証済み CN および O] プルダウン メニューで、証明書に表示する必要がある ID 検証を選択します。 • このフィールドを証明書に含める必要がある場合は、番地を含め、ボックスを選択します。 • このフィールドを証明書に含める必要がある場合は、郵便番号を含め、ボックスを選択します。 • 生成された証明書サブジェクトのプレビューには、発行される証明書のプレビューが表示されます。 • 残りのフィールドの値は、[検証済み CN および O] の選択内容に基づいて自動的に設定されます。 • [作成] を選択します。
証明書プロファイルの名前付け制約:
- 5 から 100 文字の英数字。
- 文字で始まり、文字または数字で終わり、連続するハイフンを含まない。
- アカウント内で一意。
- アカウントからリージョンを継承します。
- 大文字と小文字の区別はされません (“Abc” は “abc” と同じです)。
リソースをクリーンアップする
- 信頼された署名アカウントを削除する:
- Azure portal にサインインします。
- 検索ボックスに、「信頼された署名アカウント」と入力します。
- 結果の一覧から、[信頼された署名アカウント] を選択します。
- [信頼された署名アカウント] セクションで、削除する信頼された署名アカウントを選択します。
- 削除を選択します。
Note
このアクションにより、このアカウントにリンクされているすべての証明書プロファイルが削除され、それらの特定の証明書プロファイルに関連付けられている署名プロセスが実質的に停止されます。
- 証明書プロファイルを削除する:
- Azure portal で信頼できる署名アカウントに移動します。
- [信頼された署名アカウントの概要] ページで、または [オブジェクト] から [証明書プロファイル] を選択します。
- [証明書プロファイル] で、削除する証明書プロファイルを選択します。
- 削除を選択します。
Note
このアクションにより、対応する証明書プロファイルに関連付けられているすべての署名が停止されます。
次のステップ
このクイックスタートでは、信頼された署名アカウント、ID 検証、および証明書プロファイルを作成しました。 信頼された署名をさらに詳しく調べ、署名を開始するには、以下の記事を参照してください。