快速入門：設定受信任的簽署

信任的簽署是 Microsoft 完全受控的端對端憑證簽署服務。 在本快速入門中，您會建立下列三個信任簽署資源，以開始使用信任簽署：

• 信任的簽署帳戶
• 身分識別驗證
• 憑證配置檔

您可以使用 Azure 入口網站 或 Azure CLI 擴充功能來建立和管理大部分受信任的簽署資源。 （您只能在 Azure 入口網站 中完成身分識別驗證。您無法使用 Azure CLI 完成身分識別驗證。本快速入門說明如何。

必要條件

若要完成本快速入門，您需要：

• Microsoft Entra 租用戶標識符。

  如需詳細資訊，請參閱 建立 Microsoft Entra 租使用者。

• Azure 訂用帳戶。

  如果您還沒有訂用帳戶，請參閱 在開始之前建立 Azure 訂用帳戶 。

註冊信任的簽署資源提供者

使用信任簽署之前，您必須先註冊受信任的簽署資源提供者。

資源提供者是提供 Azure 資源的服務。 使用 Azure 入口網站 或 Azure CLI 來註冊Microsoft.CodeSigning受信任的簽署資源提供者。

Azure 入口網站

若要使用 Azure 入口網站 註冊信任簽署資源提供者：

1. 登入 Azure 入口網站。

2. 在搜尋方塊或 [所有服務] 底下，選取 [訂用帳戶]。

3. 選取您要在其中建立受信任簽署資源的訂用帳戶。

4. 在 [設定] 底下的 [資源] 功能表上，選取 [資源提供者]。

5. 在資源提供者清單中，選取 [Microsoft.CodeSigning]。

   根據預設，資源提供者狀態為 NotRegistered。

   

6. 選取省略號，然後選取 [ 註冊]。

   

   資源提供者的狀態會變更為 [已註冊]。

Azure CLI

若要使用 Azure CLI 註冊受信任的簽署資源提供者：

1. 如果您使用 Azure CLI 的本機安裝，請使用 az login 命令登入 Azure CLI。

2. 若要完成驗證程式，請完成終端機中顯示的步驟。 如需其他登入選項，請參閱 使用 Azure CLI 登入。

3. 當您第一次使用時出現提示時，請安裝 Azure CLI 擴充功能。

   如需詳細資訊，請參閱 搭配 Azure CLI 使用擴充功能。

   如需信任簽署 Azure CLI 擴充功能的詳細資訊，請參閱 信任的簽署服務。

4. 若要查看已安裝的 Azure CLI 版本和相依連結庫，請使用 az version 命令。

5. 若要升級至最新版的 Azure CLI 和相依連結庫，請執行下列命令：

   az upgrade [--all {false, true}]
      [--allow-preview {false, true}]
       [--yes]
   

6. 若要設定預設訂用帳戶標識碼，請使用 az account set -s <subscription ID> 命令。

7. 若要註冊信任的簽署資源提供者，請使用此命令：

   az provider register --namespace "Microsoft.CodeSigning"
   

8. 確認註冊：

   az provider show --namespace "Microsoft.CodeSigning"
   

9. 若要新增信任簽署的延伸模組，請使用此命令：

   az extension add --name trustedsigning
   

建立信任的簽署帳戶

信任的簽署帳戶是保存身分識別驗證和憑證配置檔資源的邏輯容器。

支援信任簽署的 Azure 區域

您只能在服務目前可用的 Azure 區域中建立受信任的簽署資源。 下表列出目前支援受信任簽署資源的 Azure 區域：

區域	區域類別欄位	端點 URI 值
美國東部	EastUS	https://eus.codesigning.azure.net
美國西部	WestUS	https://wus.codesigning.azure.net
美國中西部	WestCentralUS	https://wcus.codesigning.azure.net
美國西部 2	WestUS2	https://wus2.codesigning.azure.net
北歐	北歐	https://neu.codesigning.azure.net
西歐	西歐	https://weu.codesigning.azure.net

信任簽署帳戶的命名條件約束

信任的簽署帳戶名稱有一些條件約束。

信任的簽署帳戶名稱必須：

• 包含 3 到 24 個英數位元。
• 全域是唯一的。
• 以字母開頭。
• 以字母或數字結尾。
• 不包含連續連字元。

信任的簽署帳戶名稱為：

• 不區分大小寫（ABC 與 abc 相同）。
• 如果 Azure Resource Manager 以 「one」 開頭，則遭到拒絕。

Azure 入口網站

若要使用 Azure 入口網站 建立信任的簽署帳戶：

1. 登入 Azure 入口網站。

2. 搜尋 ，然後選取 [ 受信任的簽署帳戶]。

   

3. 在 [ 受信任的簽署帳戶 ] 窗格中，選取 [ 建立]。

4. 針對 [訂用帳戶]，選取您的 Azure 訂用帳戶。

5. 針對 [ 資源群組]，選取 [ 新建]，然後輸入資源組名。

6. 針對 [ 帳戶名稱]，輸入唯一的帳戶名稱。

   如需詳細資訊，請參閱 受信任簽署帳戶的命名條件約束。

7. 針對 [ 區域]，選取支援信任簽署的 Azure 區域。

8. 針對 [ 定價]，選取定價層。

9. 選取 [檢閱 + 建立] 按鈕。

   

10. 成功建立信任的簽署帳戶之後，請選取 [移至資源]。

Azure CLI

若要使用 Azure CLI 建立受信任的簽署帳戶：

1. 使用下列命令建立資源群組。 如果您選擇使用現有的資源群組，請略過此步驟。

   az group create --name MyResourceGroup --location EastUS
   

2. 使用下列命令建立唯一的信任簽署帳戶。

   如需詳細資訊，請參閱 受信任簽署帳戶的命名條件約束。

   若要建立具有基本 SKU 的受信任簽署帳戶：

az trustedsigning create -n MyAccount -l eastus -g MyResourceGroup --sku Basic

To create a Trusted Signing account that has a Premium SKU:

```azurecli
az trustedsigning create -n MyAccount -l eastus -g MyResourceGroup --sku Premium

3. 使用 az trustedsigning show -g MyResourceGroup -n MyAccount 命令來確認您的受信任簽署帳戶。

   注意

   如果您使用信任簽署私人預覽版的舊版 Azure CLI，您的帳戶預設為基本 SKU。 若要使用 進階版 SKU，請將 Azure CLI 升級至最新版本，或使用 Azure 入口網站 來建立帳戶。

下表列出 建立信任簽署帳戶時要使用的實用命令 ：

Command	描述
az trustedsigning -h	顯示說明命令和詳細選項。
az trustedsigning show -n MyAccount -g MyResourceGroup	顯示帳戶的詳細數據。
az trustedsigning update -n MyAccount -g MyResourceGroup --tags "key1=value1 key2=value2"	更新 標籤。
az trustedsigning list -g MyResourceGroup	列出資源群組中的所有帳戶。

建立身分識別驗證要求

您可以填入要求表單中必須包含在憑證中的資訊，以完成自己的身分識別驗證。 身分識別驗證只能在 Azure 入口網站 中完成。 您無法使用 Azure CLI 完成身分識別驗證。

注意

如果您未獲指派適當的角色，就無法建立身分識別驗證要求。 如果功能表欄上的 [新增身分識別] 按鈕在 Azure 入口網站 中呈現暗灰色，請確定您已獲指派信任的簽署身分識別驗證器角色來繼續進行身分識別驗證。

若要建立身分識別驗證要求：

1. 在 Azure 入口網站 中，移至新的信任簽署帳戶。

2. 確認您已獲指派受信任的簽署身分識別驗證程式角色。

   若要瞭解如何使用角色型訪問控制來管理存取權（RBAC），請參閱 教學課程：在信任簽署中指派角色。

3. 在 [信任的簽署帳戶概觀] 窗格或 [物件] 底下的 [資源] 功能表上，選取 [身分識別驗證]。

4. 選取 [新增身分識別]，然後選取 [公用] 或 [私人]。

   • 公用身分識別驗證僅適用於這些憑證配置檔類型：公用信任、公用信任測試、VBS 記憶體保護區。
   • 私人身分識別驗證僅適用於這些憑證配置檔類型：私人信任、私人信任 CI 原則。

5. 在 [新增身分識別驗證] 上，提供下列資訊：

   欄位	詳細資料
   組織名稱	針對公用身分識別驗證，請提供將發行憑證的法律商務實體。 針對私人身分識別驗證，值預設為 Microsoft Entra 租用戶名稱。
   （僅限私人身分識別類型）組織單位	輸入相關信息。
   網站 URL	輸入屬於法律業務實體的網站。
   主要電子郵件	輸入與進行驗證之法律商務實體相關聯的電子郵件位址。 身分識別驗證程式的一部分，驗證鏈接會傳送至此電子郵件位址，且連結會在七天內到期。 請確定電子郵件位址可以從外部電子郵件位址接收電子郵件（含連結）。
   次要電子郵件	此電子郵件地址必須與主要電子郵件位址不同。 針對組織，網域必須符合主要電子郵件位址中提供的電子郵件位址。 請確定電子郵件地址可以從具有連結的外部電子郵件地址接收電子郵件。
   商務標識碼	輸入法律商務實體的商務標識碼。
   賣方標識碼	僅適用於 Microsoft Store 客戶。 在合作夥伴中心入口網站中尋找您的賣方標識碼。
   Street、City、Country、State、郵遞區編碼	輸入法律商務實體的商務位址。

6. 選取 [憑證主體預覽 ]，以查看憑證中顯示的信息預覽。

7. 選取 [我接受信任簽署服務的 Microsoft 使用規定]。 您可以下載使用規定來檢閱或儲存它們。

8. 選取建立按鈕。

9. 成功建立要求時，身分識別驗證要求狀態會變更為 [進行中]。

10. 如果需要更多檔，則會傳送電子郵件，而要求狀態會變更為 [需要動作]。

11. 當身分識別驗證程式完成時，要求狀態會變更，而電子郵件會隨著要求的更新狀態傳送：

• 如果程式成功完成，則已完成。
• 如果進程未順利完成，則失敗。

公用身分識別驗證的重要資訊

需求	詳細資料
登入	信任的簽署目前只能將具有可驗證稅務歷程記錄的法律業務實體上線三年以上。 如需更快速的上線程式，請確定您所驗證之法律業務實體的公用記錄是最新的。
準確率	請確定您提供正確的公用身分識別驗證資訊。 如果您需要在建立之後進行任何變更，您必須完成新的身分識別驗證要求。 這項變更會影響用於簽署的相關聯憑證。
其他文件	如果您需要更多文件來處理身分識別驗證要求，您會透過電子郵件收到通知。 您可以在 Azure 入口網站 中上傳檔。 檔要求電子郵件包含檔案大小需求的相關信息。 請確定您提供的任何檔都是最新的檔。
電子郵件驗證失敗	如果電子郵件驗證失敗，您必須起始新的身分識別驗證要求。
身分識別驗證狀態	當身分識別驗證狀態更新時，您會收到透過電子郵件通知。 您也可以隨時檢查 Azure 入口網站 的狀態。
處理時間	處理您的身分識別驗證要求需要 1 到 7 個工作天（如果我們需要向您要求更多檔，可能更長）。

建立憑證設定檔

憑證配置檔資源是發給您進行簽署之憑證的邏輯容器。

憑證配置檔的命名條件約束

憑證配置檔名稱有一些條件約束。

憑證設定檔名稱必須：

• 包含 5 到 100 個英數位元。
• 以字母開頭、以字母或數字結尾，且不包含連續連字元。
• 在帳戶內是唯一的。

憑證設定檔名稱為：

• 在與帳戶相同的 Azure 區域中，依默認繼承。
• 不區分大小寫（ABC 與 abc 相同）。

Azure 入口網站

若要在 Azure 入口網站 中建立憑證設定檔：

1. 在 Azure 入口網站 中，移至新的信任簽署帳戶。

2. 在 [信任簽署帳戶概觀] 窗格或 [物件] 底下的 [資源] 功能表上，選取 [憑證配置檔]。

3. 在命令行上，選取 [建立 ] 並選取憑證配置檔類型。

   

4. 在 [建立憑證配置檔] 上，提供下列資訊：

   a. 針對 [憑證配置檔名稱]，輸入唯一的名稱。

   如需詳細資訊，請參閱 憑證配置檔的命名條件約束。

   憑證類型的值會根據您選取的憑證配置檔類型自動填入。

   b. 針對 [已驗證的 CN] 和 [O]，選取必須顯示在憑證上的身分識別驗證。

   • 如果憑證上必須顯示街道位址，請選取 [包含街道位址 ] 複選框。

   • 如果憑證上必須顯示郵遞區區編碼，請選取 [ 包含郵遞區號] 複選框。

     其餘欄位的值會根據您針對 [已驗證的 CN] 和 [O] 選取項目自動填入。

     產生的 憑證主體預覽 會顯示將發行之憑證的預覽。

5. 選取 建立。

   

Azure CLI

必要條件

您需要建立憑證配置檔之實體的身分識別驗證識別碼。 完成這些步驟，即可在 Azure 入口網站 中找到您的身分識別驗證標識碼。

1. 在 Azure 入口網站 中，移至您的信任簽署帳戶。

2. 在 [信任的簽署帳戶概觀] 窗格或 [物件] 底下的 [資源] 功能表上，選取 [身分識別驗證]。

3. 選取相關實體的超連結。 在 [ 身分識別驗證 ] 窗格中，您可以複製 [ 身分識別驗證標識符] 的值。

   

若要使用 Azure CLI 建立憑證配置檔：

1. 使用下列命令建立憑證設定檔：

   az trustedsigning certificate-profile create -g MyResourceGroup --a
   account-name MyAccount -n MyProfile --profile-type PublicTrust --identity-validation-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
   

   如需詳細資訊，請參閱 憑證配置檔的命名條件約束。

2. 使用下列命令，在憑證的主體名稱中建立包含選擇性欄位（街道地址或郵遞區號）的憑證配置檔：

az trustedsigning certificate-profile create -g MyResourceGroup --account-name MyAccount -n MyProfile --profile-type PublicTrust --identity-validation-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxx --include-street true

3. Verify that you successfully created a certificate profile by using the following command:

```azurecli
az trustedsigning certificate-profile show -g myRG --account-name MyAccount -n  MyProfile

下表列出 當您使用 Azure CLI 建立憑證設定檔時要使用的實用命令 ：

Command	描述
az trustedsigning certificate-profile create -–help	顯示範例命令的說明，並顯示詳細的參數描述。
az trustedsigning certificate-profile list -g MyResourceGroup --account-name MyAccount	列出與信任簽署帳戶相關聯的所有憑證配置檔。
az trustedsigning certificate-profile show -g MyResourceGroup --account-name MyAccount -n MyProfile	取得憑證配置檔的詳細數據。

清除資源

Azure 入口網站

若要使用 Azure 入口網站 刪除信任的簽署資源：

刪除憑證配置檔

1. 在 Azure 入口網站 中，移至您的信任簽署帳戶。
2. 在 [信任簽署帳戶概觀] 窗格或 [物件] 底下的 [資源] 功能表上，選取 [憑證配置檔]。
3. 在 [憑證配置檔] 上，選取您想要刪除的憑證配置檔。
4. 在命令列上，選取刪除。

注意

此動作會停止與憑證配置檔相關聯的任何簽署。

刪除信任的簽署帳戶

1. 登入 Azure 入口網站。
2. 在搜尋方塊中，輸入 ，然後選取 [ 信任簽署帳戶]。
3. 在 [信任簽署帳戶] 上，選取您要刪除的受信任簽署帳戶。
4. 在命令列上，選取刪除。

注意

此動作會移除連結至此帳戶的所有憑證配置檔。 與憑證配置文件相關聯的任何簽署程式都會停止。

Azure CLI

若要使用 Azure CLI 刪除受信任的簽署資源：

刪除憑證配置檔

若要刪除信任的簽署憑證設定檔，請執行此命令：

az trustedsigning certificate-profile delete -g MyResourceGroup --account-name MyAccount -n MyProfile

注意

此動作會停止與憑證配置檔相關聯的任何簽署。

刪除信任的簽署帳戶

您可以使用 Azure CLI 來刪除受信任的簽署資源。

若要刪除信任的簽署帳戶，請執行此命令：

az trustedsigning delete -n MyAccount -g MyResourceGroup

注意

此動作會移除連結至此帳戶的所有憑證配置檔。 與憑證配置文件相關聯的任何簽署程式都會停止。

相關內容

在本快速入門中，您已建立受信任的簽署帳戶、身分識別驗證要求和憑證配置檔。 若要深入瞭解受信任的簽署，並啟動您的簽署旅程，請參閱下列文章：

• 深入了解 簽署整合。
• 深入瞭解 信任簽署支援的信任模型。
• 深入了解 憑證管理。
• 需要設定的協助：
  • 透過 Azure 入口網站 透過 Azure 支援連絡。
  • 在 Stack Overflow 或 Microsoft Q&A 上張貼您的查詢，請使用標籤：信任簽署。
    • 只有 Stack Overflow 或 Microsoft Q&A 才能解決身分識別驗證問題。