使用信任簽署簽署 CI 原則
本文說明如何使用受信任的簽署服務來簽署新的程式碼完整性 (CI) 原則。
必要條件
若要完成本文的步驟,您需要:
- 信任的簽署帳戶、身分識別驗證和憑證配置檔。
- 信任簽署憑證配置檔簽署者角色的個人或群組指派。
- 已安裝 Windows 中的 Azure PowerShell。
- 已下載 Az.CodeSigning 模組。
簽署 CI 原則
將 Az.CodeSigning 模組解壓縮到資料夾。
開啟 PowerShell 7。
在 Az.CodeSigning 資料夾中,執行此命令:
Import-Module .\Az.CodeSigning.psd1
您可以選擇性地建立 類似此範例的metadata.json 檔案:(
"Endpoint"
URI 值必須是符合您在設定這些資源時建立受信任簽署帳戶和憑證配置檔的區域的 URI。{ "Endpoint":"https://xxx.codesigning.azure.net/", "CodeSigningAccountName":"<Trusted Signing Account Name>", "CertificateProfileName":"<Certificate Profile Name>" }
-
Get-AzCodeSigningRootCert -AccountName TestAccount -ProfileName TestCertProfile -EndpointUrl https://xxx.codesigning.azure.net/ -Destination c:\temp\root.cer
如果您使用 metadata.json 檔案,請改為執行此命令:
Get-AzCodeSigningRootCert -MetadataFilePath C:\temp\metadata.json https://xxx.codesigning.azure.net/ -Destination c:\temp\root.cer
若要取得擴充密鑰使用方式 (EKU) 以插入您的原則:
Get-AzCodeSigningCustomerEku -AccountName TestAccount -ProfileName TestCertProfile -EndpointUrl https://xxx.codesigning.azure.net/
如果您使用 metadata.json 檔案,請改為執行此命令:
Get-AzCodeSigningCustomerEku -MetadataFilePath C:\temp\metadata.json
若要簽署您的原則,請
invoke
執行命令:Invoke-AzCodeSigningCIPolicySigning -accountName TestAccount -profileName TestCertProfile -endpointurl "https://xxx.codesigning.azure.net/" -Path C:\Temp\defaultpolicy.bin -Destination C:\Temp\defaultpolicy_signed.bin -TimeStamperUrl: http://timestamp.acs.microsoft.com
如果您使用 metadata.json 檔案,請改為執行此命令:
Invoke-AzCodeSigningCIPolicySigning -MetadataFilePath C:\temp\metadata.json -Path C:\Temp\defaultpolicy.bin -Destination C:\Temp\defaultpolicy_signed.bin -TimeStamperUrl: http://timestamp.acs.microsoft.com
建立及部署 CI 原則
如需建立及部署 CI 原則的步驟,請參閱下列文章:
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應