使用信任簽署來簽署 CI 原則
本文說明如何使用信任簽署服務來簽署新的程式碼完整性 (CI) 原則。
必要條件
若要完成本文的步驟,您需要:
- 信任簽署帳戶、身分識別驗證和憑證設定檔。
- 信任簽署憑證設定檔簽署者角色的個人或群組指派。
- 已安裝 Windows 中的 Azure PowerShell。
- 已下載 Az.CodeSigning 模組。
簽署 CI 原則
開啟 PowerShell 7。
您可以選擇性地建立 metadata.json 檔案,類似以下範例:(
"Endpoint"
URI 值必須是與您在設定這些資源時建立信任簽署帳戶和憑證設定檔的區域一致的 URI。){ "Endpoint":"https://xxx.codesigning.azure.net/", "CodeSigningAccountName":"<Trusted Signing Account Name>", "CertificateProfileName":"<Certificate Profile Name>" }
取得您想要新增至信任存放區的根憑證:
Get-AzCodeSigningRootCert -AccountName TestAccount -ProfileName TestCertProfile -EndpointUrl https://xxx.codesigning.azure.net/ -Destination c:\temp\root.cer
如果您使用 metadata.json 檔案,請改為執行此命令:
Get-AzCodeSigningRootCert -MetadataFilePath C:\temp\metadata.json https://xxx.codesigning.azure.net/ -Destination c:\temp\root.cer
若要取得擴充金鑰使用方法 (EKU) 以插入您的原則:
Get-AzCodeSigningCustomerEku -AccountName TestAccount -ProfileName TestCertProfile -EndpointUrl https://xxx.codesigning.azure.net/
如果您使用 metadata.json 檔案,請改為執行此命令:
Get-AzCodeSigningCustomerEku -MetadataFilePath C:\temp\metadata.json
若要簽署您的原則,請執行
invoke
命令:Invoke-AzCodeSigningCIPolicySigning -accountName TestAccount -profileName TestCertProfile -endpointurl "https://xxx.codesigning.azure.net/" -Path C:\Temp\defaultpolicy.bin -Destination C:\Temp\defaultpolicy_signed.bin -TimeStamperUrl: http://timestamp.acs.microsoft.com
如果您使用 metadata.json 檔案,請改為執行此命令:
Invoke-AzCodeSigningCIPolicySigning -MetadataFilePath C:\temp\metadata.json -Path C:\Temp\defaultpolicy.bin -Destination C:\Temp\defaultpolicy_signed.bin -TimeStamperUrl: http://timestamp.acs.microsoft.com
建立及部署 CI 原則
如需建立及部署 CI 原則的步驟,請參閱下列文章:
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應