快速入門:設定信任簽署
信任簽署是 Microsoft 的完全受控端對端憑證簽署服務。 在本快速入門中,您會建立下列三個信任簽署資源,以開始使用信任簽署:
- 信任簽署帳戶
- 身分識別驗證
- 憑證設定檔
您可以使用 Azure 入口網站或 Azure CLI 延伸模組來建立和管理您大部分的信任簽署資源。 (您「只」能在 Azure 入口網站中完成身分識別驗證。無法使用 Azure CLI 來完成身分識別驗證。)本快速入門會示範做法。
必要條件
若要完成本快速入門,您需要:
Microsoft Entra 租用戶識別碼。
如需詳細資訊,請參閱建立 Microsoft Entra 租用戶。
Azure 訂用帳戶。
如果您還沒有 Azure 訂用帳戶,請先參閱建立 Azure 訂用帳戶 (部分機器翻譯) 再開始。
註冊信任簽署資源提供者
使用信任簽署之前,必須先註冊信任簽署資源提供者。
資源提供者是提供 Azure 資源的服務。 請使用 Azure 入口網站或 Azure CLI 來註冊 Microsoft.CodeSigning 信任簽署資源提供者。
若要使用 Azure 入口網站來註冊信任簽署資源提供者:
登入 Azure 入口網站。
在搜尋方塊中或 [所有服務] 底下,選取 [訂用帳戶]。
選取您要在其中建立信任簽署資源的訂用帳戶。
在資源功能表的 [設定] 底下,選取 [資源提供者]。
在資源提供者清單中,選取 [Microsoft.CodeSigning]。
根據預設,資源提供者狀態為 [未註冊]。
選取省略符號,然後選取 [註冊]。
資源提供者的狀態會變更為 [已註冊]。
建立信任簽署帳戶
信任簽署帳戶是保存身分識別驗證和憑證設定檔資源的邏輯容器。
支援信任簽署的 Azure 區域
您只能在目前可使用服務的 Azure 區域中建立信任簽署資源。 下表列出目前支援信任簽署資源的 Azure 區域:
| 區域 | 區域類別欄位 | 端點 URI 值 |
|---|---|---|
| 美國東部 | EastUS | https://eus.codesigning.azure.net |
| 美國西部 | WestUS | https://wus.codesigning.azure.net |
| 美國中西部 | WestCentralUS | https://wcus.codesigning.azure.net |
| 美國西部 2 | WestUS2 | https://wus2.codesigning.azure.net |
| 北歐 | 北歐 | https://neu.codesigning.azure.net |
| 西歐 | 西歐 | https://weu.codesigning.azure.net |
信任簽署帳戶的命名條件約束
信任簽署帳戶名稱有一些條件約束。
信任簽署帳戶名稱必須:
- 包含 3 到 24 個英數字元。
- 具有全域唯一性。
- 以字母開頭。
- 以字母或數字結尾。
- 未包含連續的連字號。
信任簽署帳戶名稱有以下特性:
- 不區分大小寫 (ABC 等同 abc)。
- 如果以「one」開頭,則會遭到 Azure Resource Manager 拒絕。
若要使用 Azure 入口網站來建立信任簽署帳戶:
登入 Azure 入口網站。
先搜尋再選取 [信任簽署帳戶]。
在 [信任簽署帳戶] 窗格上,選取 [建立]。
針對 [訂用帳戶],選取您的 Azure 訂用帳戶。
針對 [資源群組],選取 [新建],然後輸入資源群組名稱。
針對 [帳戶名稱],輸入唯一的帳戶名稱。
如需詳細資訊,請參閱信任簽署帳戶的命名條件約束。
針對 [區域],選取支援信任簽署的 Azure 區域。
針對 [定價],選取定價層。
選取 [檢閱 + 建立] 按鈕。
成功建立信任簽署帳戶之後,請選取 [移至資源]。
建立身分識別驗證要求
您可以在要求表單中填入憑證中必須包含的資訊,以完成自己的身分識別驗證。 身分識別驗證只能在 Azure 入口網站中完成。 您無法使用 Azure CLI 來完成身分識別驗證。
注意
如果您未獲派適當角色,就無法建立身分識別驗證要求。 如果 Azure 入口網站中功能表列上的 [新增身分識別] 按鈕顯示為停用,請確定您已獲派信任簽署身分識別驗證者角色,以便繼續進行身分識別驗證。
若要建立身分識別驗證要求:
在 Azure 入口網站中,移至新的信任簽署帳戶。
確認您已獲派信任簽署身分識別驗證者角色。
若要了解如何使用角色型存取控制 (RBAC) 來管理存取權,請參閱教學課程:在信任簽署中指派角色 (部分機器翻譯)。
在信任簽署帳戶的 [概觀] 窗格上,或在 [物件] 底下的 [資源] 功能表上,選取 [身分識別驗證]。
選取 [新增身分識別],然後選取 [公用] 或 [私人]。
- 公用身分識別驗證僅適用於以下憑證設定檔類型:公用信任、公用信任測試、VBS 位址。
- 私人身分識別驗證僅適用於以下憑證設定檔類型:私人信任、私人信任 CI 原則。
在 [新增身分識別驗證] 上,提供下列資訊:
欄位 詳細資料 組織名稱 若為公用身分識別驗證,請提供要作為憑證發行對象的法律商務實體。 若為私人身分識別驗證,值會預設為您的 Microsoft Entra 租用戶名稱。 (僅限私人身分識別類型) 組織單位 輸入相關資訊。 網站 URL 輸入屬於法律商務實體的網站。 主要電子郵件 輸入與正在驗證之法律商務實體相關聯的電子郵件地址。 在進行身分識別驗證的過程中,系統會傳送驗證連結給這個電子郵件地址,且驗證連結會在七天內到期。 請確定電子郵件地址可以收到來自外部電子郵件地址的電子郵件 (含連結)。 次要電子郵件 此電子郵件地址必須與主要電子郵件地址不同。 若為組織,網域必須符合主要電子郵件地址中所提供的電子郵件地址。 請確定電子郵件地址可以收到來自外部電子郵件地址的含連結電子郵件。 商務識別碼 輸入法律商務實體的商務識別碼。 賣方識別碼 僅適用於 Microsoft Store 客戶。 請在合作夥伴中心入口網站中尋找您的賣方識別碼。 街道、城市、國家/地區、州別、郵遞區號 輸入法律商務實體的商務地址。 選取 [憑證主體預覽],以預覽憑證中所顯示的資訊。
選取 [我接受 Microsoft 的信任簽署服務使用規定]。 您可以下載使用規定來加以檢閱或儲存。
選取建立按鈕。
成功建立要求時,身分識別驗證要求狀態會變更為 [進行中]。
如果需要更多文件,則系統會傳送電子郵件,且要求狀態會變更為 [需要採取動作]。
當身分識別驗證程序完成時,要求狀態會變更,且系統會傳送具有更新後要求狀態的電子郵件:
- 完成,如果程序成功完成的話。
- 失敗,如果程序未成功完成的話。
![顯示 [新增身分識別驗證] 窗格中 [公用] 選項的螢幕擷取畫面。](media/trusted-signing-identity-validation-public.png#lightbox)
![顯示 [新增身分識別驗證] 窗格中 [私人] 選項的螢幕擷取畫面。](media/trusted-signing-identity-validation-private.png#lightbox)
公用身分識別驗證的重要資訊
| 需求 | 詳細資料 |
|---|---|
| 登入 | 信任簽署目前只能將具有三年以上可驗證納稅歷史的法律商務實體上線。 如需加快上線程序,請確定您所驗證之法律商務實體的公用記錄是最新的。 |
| 正確性 | 請確實提供正確的公用身分識別驗證資訊。 如果您需要在建立公用身分識別驗證之後對其進行任何變更,則必須完成新的身分識別驗證要求。 這項變更會影響用於簽署的相關聯憑證。 |
| 電子郵件驗證失敗 | 如果電子郵件驗證失敗,您必須起始新的身分識別驗證要求。 |
| 身分識別驗證狀態 | 當身分識別驗證狀態更新時,您會收到電子郵件通知。 您也可以隨時在 Azure 入口網站中檢查驗證狀態。 |
| 處理時間 | 處理您的身分識別驗證要求需要 1 到 7 個工作天 (如果我們需要向您要求更多文件的話,時間可能會更久)。 |
| 其他文件 | 如果我們需要更多文件才能處理身分識別驗證要求,您會收到電子郵件通知。 您可以在 Azure 入口網站中上傳文件。 文件要求電子郵件中包含檔案大小需求的相關資訊。 請確定您提供的所有文件都是最新的。 - 提交的所有文件都必須在過去 12 個月內發出,或者到期日是至少兩個月以後的未來日期。 - 如果您無法提供其他文件,則請更新帳戶資訊,以符合任何已提供的法律文件或您的正式公司註冊詳細資料。 - 在提供正式商務文件時,例如列出在建立身分識別驗證要求時所提供公司名稱和地址的公司註冊表單、公司章程或公司成立文件。 - 請確定來自註冊或續約的網域註冊或網域發票所列出的實體/連絡人名稱和網域符合要求上所述。 |
建立憑證設定檔
憑證設定檔資源是發行給您進行簽署之憑證的邏輯容器。
憑證設定檔的命名條件約束
憑證設定檔名稱有一些條件約束。
憑證設定檔名稱必須:
- 包含 5 到 100 個英數字元。
- 以字母開頭、以字母或數字結尾,且未包含連續的連字號。
- 在帳戶內具有唯一性。
憑證設定檔名稱具有以下特性:
- 位於與帳戶相同的 Azure 區域中,依預設繼承。
- 不區分大小寫 (ABC 等同 abc)。
若要在 Azure 入口網站中建立憑證設定檔:
在 Azure 入口網站中,移至新的信任簽署帳戶。
在信任簽署帳戶的 [概觀] 窗格上,或在 [物件] 底下的 [資源] 功能表上,選取 [憑證設定檔]。
在命令列上,選取 [建立],然後選取憑證設定檔類型。
在 [建立憑證設定檔] 上,提供下列資訊:
a. 針對 [憑證設定檔名稱],輸入唯一的名稱。
如需詳細資訊,請參閱憑證設定檔的命名條件約束。
系統會根據您選取的憑證設定檔類型自動填入 [憑證類型] 的值。
b. 針對 [已驗證的 CN 和 O],選取必須在憑證上顯示的身分識別驗證。
如果必須在憑證上顯示街道地址,請選取 [包含街道地址] 核取方塊。
如果必須在憑證上顯示郵遞區號,請選取 [包含郵遞區號] 核取方塊。
系統會根據您針對 [已驗證的 CN 和 O] 所選取的值來自動填入其餘欄位的值。
所產生的 [憑證主體預覽] 會顯示將發行之憑證的預覽。
選取 建立。
![顯示 [建立憑證設定檔] 窗格的螢幕擷取畫面。](media/trusted-signing-certificate-profile-creation.png)
![顯示 [建立憑證設定檔] 窗格的螢幕擷取畫面。](media/trusted-signing-certificate-profile-creation.png#lightbox)
清除資源
若要使用 Azure 入口網站來刪除信任簽署資源:
刪除憑證設定檔
- 在 Azure 入口網站中,移至您的信任簽署帳戶。
- 在信任簽署帳戶的 [概觀] 窗格上,或在 [物件] 底下的 [資源] 功能表上,選取 [憑證設定檔]。
- 在 [憑證設定檔] 上,選取要刪除的憑證設定檔。
- 在命令列上,選取刪除。
注意
此動作會讓與憑證設定檔相關聯的任何簽署停下。
刪除信任簽署帳戶
- 登入 Azure 入口網站。
- 在搜尋方塊中,先輸入再選取 [信任簽署帳戶]。
- 在 [信任簽署帳戶] 上,選取您要刪除的信任簽署帳戶。
- 在命令列上,選取刪除。
注意
此動作會移除連結至此帳戶的所有憑證設定檔。 與憑證設定檔相關聯的任何簽署程序都會停下。
相關內容
在本快速入門中,您已建立信任簽署帳戶、身分識別驗證要求和憑證設定檔。 若要深入了解信任簽署,並開始您的簽署旅程,請參閱下列文章:
- 深入了解簽署整合。
- 深入了解信任簽署所支援的信任模型 (部分機器翻譯)。
- 深入了解憑證管理 (部分機器翻譯)。
- 若需要設定方面的協助:
- 透過 Azure 入口網站與 Azure 支援連絡。
- 在 Stack Overflow 或 Microsoft Q&A 上發佈您的查詢,並使用標籤:信任簽署。
- 身分識別驗證問題只能透過 Stack Overflow 或 Microsoft Q&A 來解決。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應