使用信任簽署簽署 CI 原則

本文說明如何使用受信任的簽署服務來簽署新的程式碼完整性 （CI） 原則。

必要條件

若要完成本文的步驟，您需要：

• 信任的簽署帳戶、身分識別驗證和憑證配置檔。
• 信任簽署憑證配置檔簽署者角色的個人或群組指派。
• 已安裝 Windows 中的 Azure PowerShell。
• 已下載 Az.CodeSigning 模組。

簽署 CI 原則

1. 將 Az.CodeSigning 模組解壓縮到資料夾。

2. 開啟 PowerShell 7。

3. 在 Az.CodeSigning 資料夾中，執行此命令：

   Import-Module .\Az.CodeSigning.psd1
   

4. 您可以選擇性地建立 類似此範例的metadata.json 檔案：（"Endpoint" URI 值必須是符合您在設定這些資源時建立受信任簽署帳戶和憑證配置檔的區域的 URI。

   {
   "Endpoint":"https://xxx.codesigning.azure.net/",
   "CodeSigningAccountName":"<Trusted Signing Account Name>",
   "CertificateProfileName":"<Certificate Profile Name>"
   }
   

5. 取得您要新增至信任存放區的跟憑證：

   Get-AzCodeSigningRootCert -AccountName TestAccount -ProfileName TestCertProfile -EndpointUrl https://xxx.codesigning.azure.net/ -Destination c:\temp\root.cer
   

   如果您使用 metadata.json 檔案，請改為執行此命令：

   Get-AzCodeSigningRootCert -MetadataFilePath C:\temp\metadata.json https://xxx.codesigning.azure.net/ -Destination c:\temp\root.cer 
   

6. 若要取得擴充密鑰使用方式 （EKU） 以插入您的原則：

   Get-AzCodeSigningCustomerEku -AccountName TestAccount -ProfileName TestCertProfile -EndpointUrl https://xxx.codesigning.azure.net/ 
   

   如果您使用 metadata.json 檔案，請改為執行此命令：

   Get-AzCodeSigningCustomerEku -MetadataFilePath C:\temp\metadata.json 
   

7. 若要簽署您的原則，請 invoke 執行命令：

   Invoke-AzCodeSigningCIPolicySigning -accountName TestAccount -profileName TestCertProfile -endpointurl "https://xxx.codesigning.azure.net/" -Path C:\Temp\defaultpolicy.bin -Destination C:\Temp\defaultpolicy_signed.bin -TimeStamperUrl: http://timestamp.acs.microsoft.com 
   

   如果您使用 metadata.json 檔案，請改為執行此命令：

   Invoke-AzCodeSigningCIPolicySigning -MetadataFilePath C:\temp\metadata.json -Path C:\Temp\defaultpolicy.bin -Destination C:\Temp\defaultpolicy_signed.bin -TimeStamperUrl: http://timestamp.acs.microsoft.com 
   

建立及部署 CI 原則

如需建立及部署 CI 原則的步驟，請參閱下列文章：

• 使用已簽署的原則來保護 Windows Defender 應用程控防止竄改
• Windows Defender 應用程控設計指南