يقدم هذا البرنامج التعليمي مقدمة حول توقيع التعليمات البرمجية باستخدام Azure DevOps ، باستخدام شهادة مخزنة في Azure Key Vault. لاتباع هذه التعليمات سوف تحتاج:
- An حساب Azure
- A مشروع DevOps
- A مفتاح Vault
- A شهادة توقيع الرمز مثبتة في Key Vault الخاص بك. يمكنك إما:
تتيح خدمة التوقيع السحابي eSigner من SSL.com الآن التكامل السهل مع أدوات CI / CD الشائعة ، بما في ذلك Azure DevOps، للتوقيع الآلي للرمز. eSigner يتيح لك إضافة تواقيع وطوابع زمنية رقمية موثوق بها عالميًا إلى التعليمات البرمجية الخاصة بك بشكل ملائم من أي مكان ، دون الحاجة إلى رموز USB أو HSM أو أجهزة خاصة أخرى.
انتقل إلى هذه المقالة للحصول على دليل حول كيفية دمج eSigner مع Azure DevOps: دليل تكامل التوقيع السحابي لـ Azure DevOps.
انتقل إلى هذه المقالة للحصول على دليل حول كيفية دمج eSigner مع Azure DevOps: دليل تكامل التوقيع السحابي لـ Azure DevOps.
قم بتسجيل تطبيق Azure
أولاً ، ستحتاج إلى تسجيل تطبيق Azure جديد حتى تتمكن من الاتصال بـ Key Vault للتوقيع.
- قم بتسجيل الدخول إلى بوابة أزور.
- انتقل إلى أزور أكتيف ديركتوري. (انقر المزيد من الخدمات إذا لم تكن أيقونة Azure Active Directory مرئية.)
- انقر تسجيلات التطبيق، في العمود الأيمن.
- انقر تسجيل جديد.
- امنح طلبك أ الاسم وانقر فوق تسجيل زر. اترك الإعدادات الأخرى على قيمها الافتراضية.
- تم تسجيل تطبيقك الجديد. انسخ واحفظ القيمة المعروضة لـ معرف التطبيق (العميل)، لأنك ستحتاج إليها لاحقًا.
قم بإنشاء سر العميل
بعد ذلك ، قم بإنشاء سر العميل ، والذي سيكون بمثابة بيانات اعتماد عند التوقيع.
- انقر الشهادات والأسرار في القائمة اليسرى.
- انقر سر العميل الجديد.
- امنح العميل سرًا أ الوصف، قم بتعيين انتهاء الصلاحية حسب الرغبة ، وانقر فوق أضف .
- نسخ القيم من سر عميلك الجديد فورا واحفظه في مكان آمن. في المرة التالية التي يتم فيها تحديث الصفحة ، سيتم إخفاء هذه القيمة ولا يمكن استرجاعها.
تفعيل الوصول في Key Vault
الآن ، ستحتاج إلى تمكين الوصول لتطبيقك في Azure Key Vault.
- انتقل إلى Key Vault الذي يحتوي على الشهادة التي تريد استخدامها للتوقيع وانقر فوق سياسات الوصول الرابط.
- انقر أضف نهج الوصول.
- تحت أذونات المفتاح، تمكين
Verify
,Sign
,Get
وList
.
- تحت أذونات سرية، تمكين
Get
وList
.
- تحت أذونات الشهادة، تمكين
Get
وList
.
- انقر على لم يتم تحديد أي منها رابط تحت حدد رأس المال، ثم استخدم حقل البحث لتحديد التطبيق الذي أنشأته في القسم السابق وتحديده.
- انقر على أختار .
- انقر على أضف .
- انقر حفظ.
- تم تعيين سياسة الوصول الخاصة بك.
تكوين DevOps Build
الآن يمكنك تكوين البناء الخاص بك. افتح مشروعك في Azure DevOps.
تخزين أوراق اعتماد التطبيق كمتغيرات
يمكنك تضمين معرّف التطبيق وسر العميل مباشرةً في ملف خط أنابيب YAML الخاص بك ، ولكنه يكون أكثر أمانًا إذا قمت بتخزينهما كمتغيرات في DevOps.
- انقر خطوط الأنابيب.
- انقر المكتبة.
- انقر + مجموعة متغيرة.
- امنح مجموعتك المتغيرة اسمًا.
- انقر أضف.
- أدخل اسمًا متغيرًا لمعرف التطبيق الخاص بك ، ثم الصق القيمة. انقر فوق القفل لتشفير المتغير عند الانتهاء.
- كرر العملية لإضافة متغير لسر العميل.
- انقر حفظ.
- اربط المجموعة المتغيرة في خط الأنابيب الخاص بك. (استبدل VARIABLE-GROUP باسم مجموعة المتغيرات الفعلية الخاصة بك.)
المتغيرات: - المجموعة: VARIABLE-GROUP
أضف خطوة خط أنابيب لتثبيت أداة تسجيل Azure
أداة تسجيل Azure هي أداة مفتوحة المصدر تقدم أداة SignTool وظائف الشهادات والمفاتيح المخزنة في Azure Key Vault. أضف الخطوة التالية في خط الأنابيب لتثبيت أداة تسجيل Azure:
- المهمة: DotNetCoreCLI @ 2 المدخلات: الأمر: "مخصص": وسيطات "الأداة": اسم العرض "install --global azuresigntool": تثبيت AzureSignTool
أضف أمر أداة Azure Sign إلى خط الأنابيب
- الآن يمكنك إضافة مهمة لتسجيل التعليمات البرمجية الخاصة بك إلى خط الأنابيب. سوف تحتاج إلى المعلومات التالية:
- أضف استدعاء أداة Azure Sign إلى خط الأنابيب الخاص بك. استبدل القيم الموضحة في ALL-CAPS بقيمك الفعلية:
- المهمة: CmdLine @ 2 المدخلات: البرنامج النصي: AzureSignTool sign -kvu "KEY-VAULT-URI" -kvi "$ (APPLICATION-ID-VAR)" -kvs "$ (CLIENT-SECRET-VAR)" -KVC CERTIFICATE-NAME -tr "http://ts.ssl.com" -td sha256 "FILE-TO-SIGN" displayName: Sign Code
- يجب أن ترى مثل هذا الإخراج إذا تم التوقيع بنجاح:
info: AzureSignTool.Program [0] => الملف: D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe ملف التوقيع D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe info: AzureSignTool. البرنامج [0] => الملف: D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe تم التوقيع بنجاح للملف D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe.
SSL.com's EV توقيع الكود تساعد الشهادات في حماية التعليمات البرمجية الخاصة بك من العبث والتلاعب غير المصرح به بأعلى مستوى من التحقق من الصحة ، وهي متاحة مقابل أقل من $ 249 سنويا. يمكنك أيضا استخدام شهادة توقيع رمز EV الخاص بك على نطاق واسع في السحابة باستخدام eSigner. مع خيارها الآلي ، يعد eSigner مناسبًا لتوقيع رمز المؤسسة.