信任簽署是 Microsoft 的完全受控端對端憑證簽署服務。 在本快速入門中,您會建立下列三個信任簽署資源,以開始使用信任簽署:
- 信任簽署帳戶
- 身分識別驗證
- 憑證設定檔
您可以使用 Azure 入口網站或 Azure CLI 延伸模組來建立和管理您大部分的信任簽署資源。 (您「只」能在 Azure 入口網站中完成身分識別驗證。無法使用 Azure CLI 來完成身分識別驗證。)本快速入門會示範做法。
必要條件
備註
對於公用信任憑證,信任簽署目前可供美國、加拿大、歐盟和英國的組織使用,以及美國和加拿大的個人開發人員。 此限制不適用於專用信任憑證。
若要完成本快速入門,您需要:
Microsoft Entra 租用戶識別碼。
如需詳細資訊,請參閱建立 Microsoft Entra 租用戶。
Azure 訂用帳戶。
如果您還沒有 Azure 訂用帳戶,請先參閱建立 Azure 訂用帳戶 (部分機器翻譯) 再開始。
註冊信任簽署資源提供者
使用信任簽署之前,必須先註冊信任簽署資源提供者。
資源提供者是提供 Azure 資源的服務。 請使用 Azure 入口網站或 Azure CLI 來註冊 Microsoft.CodeSigning 信任簽署資源提供者。
若要使用 Azure 入口網站來註冊信任簽署資源提供者:
登入 Azure 入口網站。
在搜尋方塊中或 [所有服務] 底下,選取 [訂用帳戶]。
選取您要在其中建立信任簽署資源的訂用帳戶。
在資源功能表的 [設定] 底下,選取 [資源提供者]。
在資源提供者清單中,選取 [Microsoft.CodeSigning]。
根據預設,資源提供者狀態為 [未註冊]。
選取省略符號,然後選取 [註冊]。
資源提供者的狀態會變更為 [已註冊]。
建立信任簽署帳戶
信任簽署帳戶是保存身分識別驗證和憑證設定檔資源的邏輯容器。
支援信任簽署的 Azure 區域
您只能在目前可使用服務的 Azure 區域中建立信任簽署資源。 下表列出目前支援信任簽署資源的 Azure 區域:
| 區域 | 區域類別欄位 | 端點 URI 值 |
|---|---|---|
| 美國東部 | EastUS | https://eus.codesigning.azure.net |
| 美國西部 | WestUS | https://wus.codesigning.azure.net |
| 美國中西部 | WestCentralUS | https://wcus.codesigning.azure.net |
| 美國西部 2 | WestUS2 | https://wus2.codesigning.azure.net |
| 北歐 | 北歐 | https://neu.codesigning.azure.net |
| 西歐 | 西歐 | https://weu.codesigning.azure.net |
信任簽署帳戶的命名條件約束
信任簽署帳戶名稱有一些條件約束。
信任簽署帳戶名稱必須:
- 包含 3 到 24 個英數字元。
- 具有全域唯一性。
- 以字母開頭。
- 以字母或數字結尾。
- 未包含連續的連字號。
信任簽署帳戶名稱有以下特性:
- 不區分大小寫 (ABC 等同 abc)。
- 如果以「one」開頭,則會遭到 Azure Resource Manager 拒絕。
若要使用 Azure 入口網站來建立信任簽署帳戶:
登入 Azure 入口網站。
先搜尋再選取 [信任簽署帳戶]。
在 [信任簽署帳戶] 窗格上,選取 [建立]。
針對 [訂用帳戶],選取 Azure 訂用帳戶。
針對 [資源群組],選取 [新建],然後輸入資源群組名稱。
針對 [帳戶名稱],輸入唯一的帳戶名稱。
如需詳細資訊,請參閱信任簽署帳戶的命名條件約束。
針對 [區域],選取支援信任簽署的 Azure 區域。
針對 [定價],選取定價層。
選取 [檢閱 + 建立] 按鈕。
成功建立信任簽署帳戶之後,請選取 [移至資源]。
建立身分驗證請求
您可以在要求表單中填入憑證中必須包含的資訊,以完成自己的身分識別驗證。 身分識別驗證只能在 Azure 入口網站中完成。 您無法使用 Azure CLI 來完成身分識別驗證。
備註
如果您未獲派適當角色,就無法建立身分識別驗證要求。 如果功能表列上的 [ 新增身分識別 ] 按鈕在 Azure 入口網站中顯示為灰色,請確定您已獲指派信任簽署身分識別驗證器角色,以繼續進行身分識別驗證。
若要為組織或 DBA 建立身分識別驗證要求:
在 Azure 入口網站中,移至新的信任簽署帳戶。
確認您已獲派信任簽署身分識別驗證者角色。
若要瞭解如何透過角色型存取控制(RBAC)進行管理,請參閱 使用指南:在信任簽署平台中指派角色。
在信任簽署帳戶的 [概觀] 窗格上,或在 [物件] 底下的 [資源] 功能表上,選取 [身分識別驗證]。
選取 [新增身分識別],然後選取 [公用] 或 [私人]。
- 公用身分識別驗證僅適用於以下憑證設定檔類型:公用信任、公用信任測試、VBS 位址。
- 私人身分識別驗證僅適用於以下憑證設定檔類型:私人信任、私人信任 CI 原則。
在 [新增身分識別驗證] 上,提供下列資訊:
欄位 詳細資料 組織名稱 針對公用身分識別驗證,請提供頒發憑證的合法商務實體。 若為私人身分識別驗證,值會預設為 Microsoft Entra 租用戶名稱。 (僅限私人身分識別類型) 組織單位 輸入相關資訊。 網站 URL 輸入屬於法律商務實體的網站。 主要電子郵件 輸入與正接受驗證的法律公司實體關聯的個人電子郵件地址(不接受通訊群組清單)。 在進行身分識別驗證的過程中,系統會傳送驗證連結給這個電子郵件地址,且驗證連結會在七天內到期。 請確定電子郵件地址可以收到來自外部電子郵件地址的電子郵件 (含連結)。 次要電子郵件 此電子郵件地址必須與主要電子郵件位址不同(可接受分發清單)。 對於組織,網域必須符合主要電子郵件位址中提供的電子郵件位址。 請確定電子郵件地址可以收到來自外部電子郵件地址的含連結電子郵件。 商務識別碼 輸入法律商務實體的商務識別碼。 賣方識別碼 僅適用於 Microsoft Store 客戶。 請在合作夥伴中心入口網站中尋找您的賣方識別碼。 街道、城市、國家/地區、州/省、郵遞區號 輸入法律商務實體的商務地址。 名字 輸入代表將執行個人身分驗證之組織的個人名字。 使用政府核發的身分證明文件上顯示的確切姓名進行身分驗證流程。 姓氏 輸入代表組織的個人的姓氏。 此人執行個人身分驗證。 使用政府核發的身分證明文件上顯示的確切姓名進行身分驗證流程。 選取 [憑證主體預覽],以預覽憑證中所顯示的資訊。
選取建立按鈕。
成功建立要求時,身分識別驗證要求狀態會變更為 [進行中]。
當狀態變更為 「需要動作」時,請依照上方「身分驗證 - 個人開發人員」索引標籤中的步驟9開始操作。
個人身分驗證的連結也會透過電子郵件傳送至主要電子郵件地址。
成功完成個人身分驗證後,狀態會變更回 「進行中」 ,驗證程式會繼續進行。
如果需要更多文件,則系統會傳送電子郵件,且要求狀態會變更為 [需要採取動作]。
當身分識別驗證程序完成時,要求狀態會變更,且系統會傳送具有更新後要求狀態的電子郵件:
- 完成,如果程序成功完成的話。
- 失敗,如果程序未成功完成的話。
![顯示 [新增身分識別驗證] 窗格中 [公用] 選項的螢幕擷取畫面。](media/trusted-signing-identity-validation-public.png)
![顯示 [新增身分識別驗證] 窗格中 [私人] 選項的螢幕擷取畫面。](media/trusted-signing-identity-validation-private.png)
![顯示 [新增身分識別驗證] 窗格中 [公用] 選項的螢幕擷取畫面。](media/trusted-signing-identity-validation-public.png#lightbox)
![顯示 [新增身分識別驗證] 窗格中 [私人] 選項的螢幕擷取畫面。](media/trusted-signing-identity-validation-private.png#lightbox)
公用身分識別驗證的重要資訊
| 需求 | 詳細資料 |
|---|---|
| 登入 | 信任簽署目前只能接納具有三年以上可驗證納稅歷史的合法商業實體。 如需加快入職程序,請確定您所驗證之法律企業實體的公共紀錄是最新的。 |
| 正確性 | 請確實提供正確的公用身分識別驗證資訊。 如果您需要在建立之後進行任何變更,您必須完成新的身分識別驗證要求。 這項變更會影響用於簽署的相關聯憑證。 |
| 電子郵件驗證失敗 | 如果電子郵件驗證失敗,您必須起始新的身分識別驗證要求。 |
| 身分識別驗證狀態 | 當身分識別驗證狀態更新時,您會收到電子郵件通知。 您也可以隨時在 Azure 入口網站中檢查驗證狀態。 |
| 處理時間 | 處理您的身分識別驗證要求需要 1 到 7 個工作天 (如果我們需要向您要求更多文件的話,時間可能會更久)。 |
| 其他文件 | 如果我們需要更多文件才能處理身分識別驗證要求,您會收到電子郵件通知。 您可以在 Azure 入口網站中上傳文件。 對於文件上傳,有三次嘗試。 文件要求電子郵件中包含檔案大小需求的相關資訊。 請確定您提供的所有文件都是最新的。 - 提交的所有文件都必須在前 12 個月內發出,到期日是至少兩個月的未來日期。 - 如果無法提供其他檔,請更新您的帳戶資訊,以符合任何已提供的法律檔或您的正式公司註冊詳細數據。 - 在提供正式商務文件時,例如列出在建立身分識別驗證要求時所提供公司名稱和地址的公司註冊表單、公司章程或公司成立文件。 - 請確定來自註冊或續約的網域註冊或網域發票,其中會列出實體和聯繫人名稱,以及要求中包含/提及的所有網域。 |
建立憑證設定檔
憑證設定檔資源是發行給您進行簽署之憑證的邏輯容器。
憑證設定檔的命名限制
憑證設定檔名稱有一些條件約束。
憑證設定檔名稱必須:
- 包含 5 到 100 個英數字元。
- 以字母開頭、以字母或數字結尾,且未包含連續的連字號。
- 在帳戶中保持唯一性。
憑證設定檔名稱為:
- 位於與帳戶相同的 Azure 區域中,依預設繼承。
- 不區分大小寫 (ABC 等同 abc)。
若要在 Azure 入口網站中建立憑證設定檔:
在 Azure 入口網站中,移至新的信任簽署帳戶。
在信任簽署帳戶的 [概觀] 窗格上,或在 [物件] 底下的 [資源] 功能表上,選取 [憑證設定檔]。
在命令列上,選取 [建立],然後選取憑證設定檔類型。
在 [建立憑證設定檔] 上,提供下列資訊:
一。 在 憑證設定檔名稱 中,輸入唯一的名稱。
如需詳細資訊,請參閱憑證設定檔的命名條件約束。
系統會根據您選取的憑證設定檔類型自動填入 [憑證類型] 的值。
b。 針對 [已驗證的 CN 和 O],選取必須在憑證上顯示的身分識別驗證。
如果必須在憑證上顯示街道地址,請選取 [包含街道地址] 核取方塊。
如果必須在憑證上顯示郵遞區號,請選取 [包含郵遞區號] 核取方塊。
系統會根據您針對 [已驗證的 CN 和 O] 所選取的值來自動填入其餘欄位的值。
所產生的 [憑證主體預覽] 會顯示將發行之憑證的預覽。
選取 [建立]。
![顯示 [建立憑證設定檔] 窗格的螢幕擷取畫面。](media/trusted-signing-certificate-profile-creation.png)
![顯示 [建立憑證設定檔] 窗格的螢幕擷取畫面。](media/trusted-signing-certificate-profile-creation.png#lightbox)
清除資源
若要使用 Azure 入口網站來刪除信任簽署資源:
刪除憑證設定檔
- 在 Azure 入口網站中,移至您的信任簽署帳戶。
- 在信任簽署帳戶的 [概觀] 窗格上,或在 [物件] 底下的 [資源] 功能表上,選取 [憑證設定檔]。
- 在 [憑證設定檔] 上,選取要刪除的憑證設定檔。
- 在命令列上,選取刪除。
備註
此動作會停止與憑證相關聯的任何簽署動作。
刪除信任簽署帳戶
- 登入 Azure 入口網站。
- 在搜尋方塊中,先輸入再選取 [信任簽署帳戶]。
- 在 [信任簽署帳戶] 上,選取您要刪除的信任簽署帳戶。
- 在命令列上,選取刪除。
備註
此動作會移除連結至此帳戶的所有憑證設定檔。 與憑證設定檔相關聯的任何簽署程序都會停下。
相關內容
在本快速入門中,您已建立信任簽署帳戶、身分識別驗證要求和憑證設定檔。 若要深入了解信任簽署,並開始您的簽署旅程,請參閱下列文章:
- 深入了解簽署整合。
- 進一步了解Trusted Signing 支援的信任模型。
- 進一步了解憑證管理
- 若需要設定方面的協助:
- 透過 Azure 入口網站與 Azure 支援連絡。
- 在 Stack Overflow 或 Microsoft Q&A 上發佈您的查詢,並使用標籤:信任簽署。
- 身分識別驗證問題只能透過 Stack Overflow 或 Microsoft Q&A 來解決。