Szybki start: konfigurowanie zaufanego podpisywania

Zaufane podpisywanie to w pełni zarządzana, kompleksowa usługa podpisywania certyfikatów firmy Microsoft. W tym przewodniku Szybki start utworzysz następujące trzy zasoby zaufanego podpisywania, aby rozpocząć korzystanie z zaufanego podpisywania:

• Zaufane konto podpisywania
• Weryfikacja tożsamości
• Profil certyfikatu

Możesz użyć witryny Azure Portal lub rozszerzenia interfejsu wiersza polecenia platformy Azure, aby utworzyć większość zasobów zaufanego podpisywania i zarządzać nimi. (Walidację tożsamości można ukończyć tylko w witrynie Azure Portal. Nie można ukończyć weryfikacji tożsamości przy użyciu interfejsu wiersza polecenia platformy Azure). W tym przewodniku Szybki start pokazano, jak to zrobić.

Wymagania wstępne

Aby ukończyć ten przewodnik Szybki Start, musisz spełnić następujące warunki:

• Identyfikator dzierżawy entra firmy Microsoft.

  Aby uzyskać więcej informacji, zobacz Create a Microsoft Entra tenant (Tworzenie dzierżawy firmy Microsoft Entra).

• Subskrypcja Azure.

  Jeśli jeszcze jej nie masz, zobacz Tworzenie subskrypcji platformy Azure przed rozpoczęciem.

Rejestrowanie zaufanego dostawcy zasobów podpisywania

Przed użyciem zaufanego podpisywania należy zarejestrować dostawcę zasobów Zaufane podpisywanie.

Dostawca zasobów to usługa dostarczająca zasoby platformy Azure. Użyj witryny Azure Portal lub interfejsu wiersza polecenia platformy Azure, aby zarejestrować dostawcę Microsoft.CodeSigning zasobów Zaufane podpisywanie.

Witryna Azure Portal

Aby zarejestrować zaufanego dostawcę zasobów podpisywania przy użyciu witryny Azure Portal:

1. Zaloguj się w witrynie Azure Portal.

2. W polu wyszukiwania lub w obszarze Wszystkie usługi wybierz pozycję Subskrypcje.

3. Wybierz subskrypcję, w której chcesz utworzyć zasoby zaufanego podpisywania.

4. W menu zasobów w obszarze Ustawienia wybierz pozycję Dostawcy zasobów.

5. Na liście dostawców zasobów wybierz pozycję Microsoft.CodeSigning.

   Domyślnie stan dostawcy zasobów to NotRegistered.

   

6. Wybierz wielokropek, a następnie wybierz pozycję Zarejestruj.

   

   Stan dostawcy zasobów zmienia się na Zarejestrowane.

Interfejs wiersza polecenia platformy Azure

Aby zarejestrować zaufanego dostawcę zasobów podpisywania przy użyciu interfejsu wiersza polecenia platformy Azure:

1. Jeśli używasz lokalnej instalacji interfejsu wiersza polecenia platformy Azure, zaloguj się do interfejsu az login wiersza polecenia platformy Azure przy użyciu polecenia .

2. Aby zakończyć proces uwierzytelniania, wykonaj kroki wyświetlane w terminalu. Aby uzyskać inne opcje logowania, zobacz Logowanie przy użyciu interfejsu wiersza polecenia platformy Azure.

3. Po wyświetleniu pierwszego monitu o użycie zainstaluj rozszerzenie interfejsu wiersza polecenia platformy Azure.

   Aby uzyskać więcej informacji, zobacz Używanie rozszerzeń z interfejsem wiersza polecenia platformy Azure.

   Aby uzyskać więcej informacji na temat rozszerzenia interfejsu wiersza polecenia platformy Azure zaufanego podpisywania, zobacz Zaufana usługa podpisywania.

4. Aby wyświetlić wersje interfejsu wiersza polecenia platformy Azure i zainstalowane biblioteki zależne, użyj az version polecenia .

5. Aby przeprowadzić uaktualnienie do najnowszych wersji interfejsu wiersza polecenia platformy Azure i bibliotek zależnych, uruchom następujące polecenie:

   az upgrade [--all {false, true}]
      [--allow-preview {false, true}]
       [--yes]
   

6. Aby ustawić domyślny identyfikator subskrypcji, użyj az account set -s <subscription ID> polecenia .

7. Aby zarejestrować zaufanego dostawcę zasobów podpisywania, użyj następującego polecenia:

   az provider register --namespace "Microsoft.CodeSigning"
   

8. Sprawdź rejestrację:

   az provider show --namespace "Microsoft.CodeSigning"
   

9. Aby dodać rozszerzenie do zaufanego podpisywania, użyj następującego polecenia:

   az extension add --name trustedsigning
   

Tworzenie zaufanego konta podpisywania

Zaufane konto podpisywania to logiczny kontener, który przechowuje zasoby weryfikacji tożsamości i profilu certyfikatu.

Regiony platformy Azure, które obsługują podpisywanie zaufane

Zasoby zaufanego podpisywania można tworzyć tylko w regionach świadczenia usługi Azure, w których usługa jest obecnie dostępna. W poniższej tabeli wymieniono regiony platformy Azure, które obecnie obsługują zasoby zaufanego podpisywania:

Region (Region)	Pola klas regionów	Wartość identyfikatora URI punktu końcowego
Wschodnie stany USA	EastUS	https://eus.codesigning.azure.net
Zachodnie stany USA	WestUS	https://wus.codesigning.azure.net
Zachodnio-środkowe stany USA	WestCentralUS	https://wcus.codesigning.azure.net
Zachodnie stany USA 2	WestUS2	https://wus2.codesigning.azure.net
Europa Północna	NorthEurope	https://neu.codesigning.azure.net
West Europe	WestEurope	https://weu.codesigning.azure.net

Ograniczenia nazewnictwa dla zaufanych kont podpisywania

Nazwy zaufanych kont podpisywania mają pewne ograniczenia.

Nazwa zaufanego konta podpisywania musi:

• Zawiera od 3 do 24 znaków alfanumerycznych.
• Być globalnie unikatowy.
• Zacznij od litery.
• Koniec literą lub cyfrą.
• Nie zawiera kolejnych łączników.

Nazwa zaufanego konta podpisywania to:

• Nie uwzględnia wielkości liter (ABC jest taka sama jak abc).
• Odrzucone przez usługę Azure Resource Manager, jeśli zaczyna się od "jeden".

Witryna Azure Portal

Aby utworzyć konto zaufanego podpisywania przy użyciu witryny Azure Portal:

1. Zaloguj się w witrynie Azure Portal.

2. Wyszukaj i wybierz pozycję Zaufane konta podpisywania.

   

3. W okienku Zaufane konta podpisywania wybierz pozycję Utwórz.

4. W polu Subskrypcja wybierz subskrypcję platformy Azure.

5. W obszarze Grupa zasobów wybierz pozycję Utwórz nową, a następnie wprowadź nazwę grupy zasobów.

6. W polu Nazwa konta wprowadź unikatową nazwę konta.

   Aby uzyskać więcej informacji, zobacz Nazewnictwo ograniczeń dla zaufanych kont podpisywania.

7. W polu Region wybierz region platformy Azure, który obsługuje zaufane podpisywanie.

8. W obszarze Cennik wybierz warstwę cenową.

9. Wybierz przycisk Przejrzyj i utwórz.

   

10. Po pomyślnym utworzeniu konta zaufanego podpisywania wybierz pozycję Przejdź do zasobu.

Interfejs wiersza polecenia platformy Azure

Aby utworzyć konto zaufanego podpisywania przy użyciu interfejsu wiersza polecenia platformy Azure:

1. Utwórz grupę zasobów przy użyciu następującego polecenia. Jeśli zdecydujesz się użyć istniejącej grupy zasobów, pomiń ten krok.

   az group create --name MyResourceGroup --location EastUS
   

2. Utwórz unikatowe konto zaufanego podpisywania przy użyciu następującego polecenia.

   Aby uzyskać więcej informacji, zobacz Nazewnictwo ograniczeń dla zaufanych kont podpisywania.

   Aby utworzyć konto zaufanego podpisywania, które ma podstawową jednostkę SKU:

az trustedsigning create -n MyAccount -l eastus -g MyResourceGroup --sku Basic

To create a Trusted Signing account that has a Premium SKU:

```azurecli
az trustedsigning create -n MyAccount -l eastus -g MyResourceGroup --sku Premium

3. Zweryfikuj konto zaufanego podpisywania az trustedsigning show -g MyResourceGroup -n MyAccount przy użyciu polecenia .

   Uwaga

   Jeśli używasz starszej wersji interfejsu wiersza polecenia platformy Azure z prywatnej wersji zapoznawczej zaufanego podpisywania, twoje konto jest domyślnie używane do podstawowej jednostki SKU. Aby użyć jednostki SKU w warstwie Premium, uaktualnij interfejs wiersza polecenia platformy Azure do najnowszej wersji lub użyj witryny Azure Portal, aby utworzyć konto.

W poniższej tabeli wymieniono przydatne polecenia do użycia podczas tworzenia zaufanego konta podpisywania:

Polecenie	opis
az trustedsigning -h	Pokazuje polecenia pomocy i szczegółowe opcje.
az trustedsigning show -n MyAccount -g MyResourceGroup	Przedstawia szczegóły konta.
az trustedsigning update -n MyAccount -g MyResourceGroup --tags "key1=value1 key2=value2"	Aktualizuje tagi.
az trustedsigning list -g MyResourceGroup	Wyświetla listę wszystkich kont, które znajdują się w grupie zasobów.

Tworzenie żądania weryfikacji tożsamości

Możesz ukończyć własną walidację tożsamości, wypełniając formularz żądania informacjami, które muszą być zawarte w certyfikacie. Walidację tożsamości można wykonać tylko w witrynie Azure Portal. Nie można ukończyć weryfikacji tożsamości przy użyciu interfejsu wiersza polecenia platformy Azure.

Uwaga

Nie można utworzyć żądania weryfikacji tożsamości, jeśli nie masz przypisanej odpowiedniej roli. Jeśli przycisk Nowa tożsamość na pasku menu pojawi się wygaszony w witrynie Azure Portal, upewnij się, że masz przypisany roler Trusted Signing Identity Verifier, aby kontynuować walidację tożsamości.

Aby utworzyć żądanie weryfikacji tożsamości:

1. W witrynie Azure Portal przejdź do nowego zaufanego konta podpisywania.

2. Upewnij się, że masz przypisaną rolę Weryfikatora zaufanego podpisywania tożsamości.

   Aby dowiedzieć się, jak zarządzać dostępem przy użyciu kontroli dostępu opartej na rolach (RBAC), zobacz Samouczek: przypisywanie ról w zaufanym podpisywaniu.

3. W okienku Przegląd zaufanego konta podpisywania lub w menu zasobów w obszarze Obiekty wybierz pozycję Walidacje tożsamości.

4. Wybierz pozycję Nowa tożsamość, a następnie wybierz pozycję Publiczna lub Prywatna.

   • Weryfikacja tożsamości publicznej ma zastosowanie tylko do tych typów profilów certyfikatów: Public Trust, Public Trust Test, VBS Enclave.
   • Weryfikacja tożsamości prywatnej ma zastosowanie tylko do tych typów profilów certyfikatów: Zaufanie prywatne, Zasady ciągłej integracji zaufania prywatnego.

5. W obszarze Nowa weryfikacja tożsamości podaj następujące informacje:

   Pola	Szczegóły
   Nazwa organizacji	W przypadku weryfikacji tożsamości publicznej podaj jednostkę biznesową, do której zostanie wystawiony certyfikat. W przypadku weryfikacji tożsamości prywatnej wartość jest domyślnie ustawiona na nazwę dzierżawy firmy Microsoft Entra.
   (Tylko typ tożsamości prywatnej) Jednostka organizacyjna	Wprowadź odpowiednie informacje.
   Adres URL witryny sieci Web	Wprowadź witrynę internetową należącą do podmiotu prawnego.
   Podstawowa wiadomość e-mail	Wprowadź adres e-mail skojarzony z legalną jednostką biznesową poddawaną walidacji. Część procesu weryfikacji tożsamości, link weryfikacyjny jest wysyłany na ten adres e-mail i link wygasa w ciągu siedmiu dni. Upewnij się, że adres e-mail może odbierać wiadomości e-mail (z linkami) z zewnętrznych adresów e-mail.
   Pomocnicza poczta e-mail	Ten adres e-mail musi być inny niż podstawowy adres e-mail. W przypadku organizacji domena musi być zgodna z adresem e-mail podanym na podstawowym adresie e-mail. Upewnij się, że adres e-mail może odbierać wiadomości e-mail z zewnętrznych adresów e-mail, które zawierają linki.
   Identyfikator firmy	Wprowadź identyfikator biznesowy jednostki biznesowej.
   Identyfikator sprzedawcy	Dotyczy tylko klientów ze Sklepu Microsoft. Znajdź swój identyfikator sprzedawcy w portalu Centrum partnerskiego.
   Ulica, Miasto, Kraj, Stan, Kod pocztowy	Wprowadź adres biznesowy jednostki biznesowej.

6. Wybierz pozycję Podgląd podmiotu certyfikatu, aby wyświetlić podgląd informacji wyświetlanych w certyfikacie.

7. Wybierz pozycję Akceptuję warunki użytkowania firmy Microsoft dla zaufanych usług podpisywania. Możesz pobrać warunki użytkowania, aby je przejrzeć lub zapisać.

8. Zaznacz przycisk Utwórz.

9. Po pomyślnym utworzeniu żądania stan żądania weryfikacji tożsamości zmieni się na W toku.

10. Jeśli wymagana jest więcej dokumentów, zostanie wysłana wiadomość e-mail, a stan żądania zmieni się na Wymagana akcja.

11. Po zakończeniu procesu weryfikacji tożsamości stan żądania zmieni się, a wiadomość e-mail zostanie wysłana ze zaktualizowanym stanem żądania:

• Ukończono , jeśli proces został ukończony pomyślnie.
• Niepowodzenie, jeśli proces nie został ukończony pomyślnie.

Ważne informacje dotyczące weryfikacji tożsamości publicznej

Wymagania	Szczegóły
Wprowadzanie	W tej chwili zaufane podpisywanie może dołączyć tylko prawne podmioty biznesowe, które mają weryfikowalną historię podatku od trzech lub więcej lat. Aby przyspieszyć proces dołączania, upewnij się, że rekordy publiczne dla zweryfikowanej jednostki biznesowej są aktualne.
Dokładność	Upewnij się, że podajesz poprawne informacje dotyczące weryfikacji tożsamości publicznej. Jeśli musisz wprowadzić jakiekolwiek zmiany po jego utworzeniu, musisz ukończyć nowe żądanie weryfikacji tożsamości. Ta zmiana ma wpływ na skojarzone certyfikaty używane do podpisywania.
Nieudana weryfikacja poczty e-mail	Jeśli weryfikacja wiadomości e-mail nie powiedzie się, musisz zainicjować nowe żądanie weryfikacji tożsamości.
Stan weryfikacji tożsamości	Otrzymasz powiadomienie za pośrednictwem poczty e-mail w przypadku aktualizacji stanu weryfikacji tożsamości. Stan można również sprawdzić w witrynie Azure Portal w dowolnym momencie.
Czas przetwarzania	Przetwarzanie żądania weryfikacji tożsamości trwa od 1 do 7 dni roboczych (być może dłużej, jeśli musimy zażądać więcej dokumentacji od Ciebie).
Więcej dokumentacji	Jeśli potrzebujemy więcej dokumentacji w celu przetworzenia żądania weryfikacji tożsamości, otrzymasz powiadomienie pocztą e-mail. Dokumenty można przekazać w witrynie Azure Portal. Wiadomość e-mail z żądaniem dokumentacji zawiera informacje o wymaganiach dotyczących rozmiaru pliku. Upewnij się, że wszystkie podane dokumenty są najbardziej aktualne. - Wszystkie przesłane dokumenty muszą zostać wydane w ciągu poprzednich 12 miesięcy lub gdy data wygaśnięcia jest datą przyszłą, która wynosi co najmniej dwa miesiące. — Jeśli nie można podać dodatkowej dokumentacji, zaktualizuj informacje o koncie, aby odpowiadały wszelkim dokumentom prawnym, które zostały już dostarczone lub oficjalnymi szczegółami rejestracji firmy. - Podczas podawania oficjalnego dokumentu biznesowego, takiego jak formularz rejestracji biznesowej, karta biznesowa lub artykuły włączenia, które zawierają nazwę i adres firmy w momencie utworzenia żądania weryfikacji tożsamości. — Upewnij się, że rejestracja domeny lub faktura domeny z rejestracji lub odnowienia zawiera listę nazwy jednostki/kontaktu i domeny, ponieważ jest ona stanem żądania.

Tworzenie profilu certyfikatu

Zasób profilu certyfikatu jest logicznym kontenerem certyfikatów wystawionych na potrzeby podpisywania.

Ograniczenia nazewnictwa profilów certyfikatów

Nazwy profilów certyfikatów mają pewne ograniczenia.

Nazwa profilu certyfikatu musi:

• Zawiera od 5 do 100 znaków alfanumerycznych.
• Zacznij od litery, kończy się literą lub cyfrą i nie zawiera kolejnych łączników.
• Być unikatowa na koncie.

Nazwa profilu certyfikatu to:

• W tym samym regionie świadczenia usługi Azure co konto domyślnie dziedziczenie.
• Nie uwzględnia wielkości liter (ABC jest taka sama jak abc).

Witryna Azure Portal

Aby utworzyć profil certyfikatu w witrynie Azure Portal:

1. W witrynie Azure Portal przejdź do nowego zaufanego konta podpisywania.

2. W okienku Przegląd zaufanego konta podpisywania lub w menu zasobów w obszarze Obiekty wybierz pozycję Profile certyfikatów.

3. Na pasku poleceń wybierz pozycję Utwórz i wybierz typ profilu certyfikatu.

   

4. W obszarze Tworzenie profilu certyfikatu podaj następujące informacje:

   a. W polu Nazwa profilu certyfikatu wprowadź unikatową nazwę.

   Aby uzyskać więcej informacji, zobacz Nazewnictwo ograniczeń dla profilów certyfikatów.

   Wartość typu certyfikatu jest wypełniana automatycznie na podstawie wybranego typu profilu certyfikatu.

   b. W obszarze Zweryfikowana nazwa CN i O wybierz weryfikację tożsamości, która musi być wyświetlana w certyfikacie.

   • Jeśli adres ulicy musi być wyświetlany w certyfikacie, zaznacz pole wyboru Dołącz adres ulicy.

   • Jeśli kod pocztowy musi być wyświetlany na certyfikacie, zaznacz pole wyboru Dołącz kod pocztowy.

     Wartości pozostałych pól są wypełniane automatycznie w oparciu o wybór zweryfikowanej nazwy CN i O.

     Wygenerowany podgląd podmiotu certyfikatu pokazuje podgląd certyfikatu, który zostanie wystawiony.

5. Wybierz pozycję Utwórz.

   

Interfejs wiersza polecenia platformy Azure

Wymagania wstępne

Potrzebny jest identyfikator weryfikacji tożsamości dla jednostki, dla której jest tworzony profil certyfikatu. Wykonaj następujące kroki, aby znaleźć identyfikator weryfikacji tożsamości w witrynie Azure Portal.

1. W witrynie Azure Portal przejdź do konta zaufanego podpisywania.

2. W okienku Przegląd zaufanego konta podpisywania lub w menu zasobów w obszarze Obiekty wybierz pozycję Walidacje tożsamości.

3. Wybierz hiperlink dla odpowiedniej jednostki. W okienku Weryfikacja tożsamości możesz skopiować wartość identyfikatora weryfikacji tożsamości.

   

Aby utworzyć profil certyfikatu przy użyciu interfejsu wiersza polecenia platformy Azure:

1. Utwórz profil certyfikatu przy użyciu następującego polecenia:

   az trustedsigning certificate-profile create -g MyResourceGroup --a
   account-name MyAccount -n MyProfile --profile-type PublicTrust --identity-validation-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
   

   Aby uzyskać więcej informacji, zobacz Nazewnictwo ograniczeń dla profilów certyfikatów.

2. Utwórz profil certyfikatu zawierający opcjonalne pola (adres ulicy lub kod pocztowy) w nazwie podmiotu certyfikatu przy użyciu następującego polecenia:

az trustedsigning certificate-profile create -g MyResourceGroup --account-name MyAccount -n MyProfile --profile-type PublicTrust --identity-validation-id xxxxxxxx-xxxx-xxxxxxxxxxxx --include-street true

3. Verify that you successfully created a certificate profile by using the following command:

```azurecli
az trustedsigning certificate-profile show -g myRG --account-name MyAccount -n  MyProfile

W poniższej tabeli wymieniono przydatne polecenia do użycia podczas tworzenia profilu certyfikatu przy użyciu interfejsu wiersza polecenia platformy Azure:

Polecenie	opis
az trustedsigning certificate-profile create -–help	Przedstawia pomoc dotyczącą przykładowych poleceń i przedstawia szczegółowe opisy parametrów.
az trustedsigning certificate-profile list -g MyResourceGroup --account-name MyAccount	Wyświetla listę wszystkich profilów certyfikatów skojarzonych z kontem zaufanego podpisywania.
az trustedsigning certificate-profile show -g MyResourceGroup --account-name MyAccount -n MyProfile	Pobiera szczegóły profilu certyfikatu.

Czyszczenie zasobów

Witryna Azure Portal

Aby usunąć zasoby zaufanego podpisywania przy użyciu witryny Azure Portal:

Usuwanie profilu certyfikatu

1. W witrynie Azure Portal przejdź do konta zaufanego podpisywania.
2. W okienku Przegląd zaufanego konta podpisywania lub w menu zasobów w obszarze Obiekty wybierz pozycję Profile certyfikatów.
3. W obszarze Profile certyfikatów wybierz profil certyfikatu, który chcesz usunąć.
4. Na pasku poleceń wybierz Usuń.

Uwaga

Ta akcja powoduje zatrzymanie wszelkich podpisów skojarzonych z profilem certyfikatu.

Usuwanie zaufanego konta podpisywania

1. Zaloguj się w witrynie Azure Portal.
2. W polu wyszukiwania wprowadź, a następnie wybierz pozycję Zaufane konta podpisywania.
3. Na zaufanych kontach podpisywania wybierz konto zaufanego podpisywania, które chcesz usunąć.
4. Na pasku poleceń wybierz Usuń.

Uwaga

Ta akcja powoduje usunięcie wszystkich profilów certyfikatów połączonych z tym kontem. Wszystkie procesy podpisywania skojarzone z profilami certyfikatów zostaną zatrzymane.

Interfejs wiersza polecenia platformy Azure

Aby usunąć zasoby zaufanego podpisywania przy użyciu interfejsu wiersza polecenia platformy Azure:

Usuwanie profilu certyfikatu

Aby usunąć profil certyfikatu zaufanego podpisywania, uruchom następujące polecenie:

az trustedsigning certificate-profile delete -g MyResourceGroup --account-name MyAccount -n MyProfile

Uwaga

Ta akcja powoduje zatrzymanie wszelkich podpisów skojarzonych z profilem certyfikatu.

Usuwanie zaufanego konta podpisywania

Aby usunąć zasoby zaufanego podpisywania, możesz użyć interfejsu wiersza polecenia platformy Azure.

Aby usunąć konto zaufanego podpisywania, uruchom następujące polecenie:

az trustedsigning delete -n MyAccount -g MyResourceGroup

Uwaga

Ta akcja powoduje usunięcie wszystkich profilów certyfikatów połączonych z tym kontem. Wszystkie procesy podpisywania skojarzone z profilami certyfikatów zostaną zatrzymane.

Powiązana zawartość

W tym przewodniku Szybki start utworzono konto zaufanego podpisywania, żądanie weryfikacji tożsamości i profil certyfikatu. Aby dowiedzieć się więcej na temat zaufanego podpisywania i rozpoczęcia podróży do podpisywania, zobacz następujące artykuły:

• Dowiedz się więcej o podpisywaniu integracji.
• Dowiedz się więcej o modelach zaufania, które obsługują zaufane podpisywanie.
• Dowiedz się więcej o zarządzaniu certyfikatami.
• Potrzebna pomoc dotycząca konfiguracji:
  • Skontaktuj się za pośrednictwem pomocy technicznej platformy Azure za pośrednictwem witryny Azure Portal.
  • Opublikuj zapytanie w witrynie Stack Overflow lub Microsoft Q&A, użyj tagu: zaufane podpisywanie.
    • Problemy z weryfikacją tożsamości można rozwiązać tylko w witrynie Stack Overflow lub Microsoft Q&A.