توقيع التعليمات البرمجية باستخدام Azure Key Vault

سيوضح لك هذا البرنامج التعليمي كيفية تسجيل الملفات من سطر أوامر Windows باستخدام شهادة توقيع رمز ومفتاح خاص مخزنين في Azure Key Vault. لاتباع هذه التعليمات سوف تحتاج:

• An حساب Azure
• A مفتاح Vault
• A شهادة توقيع الرمز مثبتة في Key Vault الخاص بك. يمكنك إما:
  • توليد CSR وتثبيت شهادة في Key Vault or
  • قم باستيراد شهادة في Key Vault
• أداة تسجيل Azure مثبتًا على الكمبيوتر الذي ستستخدمه للتوقيع

ما هي أداة تسجيل Azure؟

أداة تسجيل Azure هي أداة مفتوحة المصدر تقدم أداة SignTool وظائف الشهادات والمفاتيح المخزنة في Azure Key Vault. يمكنك تثبيت Azure Sign Tool باستخدام الأمر التالي في Windows PowerShell (يتطلب NET SDK):

dotnet tool install --global AzureSignTool

الخطوة 1: تسجيل تطبيق Azure جديد

أولاً ، ستحتاج إلى تسجيل تطبيق Azure جديد حتى تتمكن من الاتصال بـ Key Vault للتوقيع.

1. قم بتسجيل الدخول إلى بوابة أزور.
   
2. انتقل إلى أزور أكتيف ديركتوري. (انقر المزيد من الخدمات إذا لم تكن أيقونة Azure Active Directory مرئية.)
   
3. انقر تسجيلات التطبيق، في العمود الأيمن.
   
4. انقر تسجيل جديد.
   
5. امنح طلبك أ الاسم وانقر فوق تسجيل زر. اترك الإعدادات الأخرى على قيمها الافتراضية.
   
6. تم تسجيل تطبيقك الجديد. انسخ واحفظ القيمة المعروضة لـ معرف التطبيق (العميل)، لأنك ستحتاج إليها لاحقًا.
   
7. انقر التحقّق من المُستخدم .
   
8. تحت إعدادات متقدمة، جلس السماح بتدفقات العملاء العامة إلى Yes.
   
9. انقر حفظ.
   

الخطوة 2: قم بإنشاء سر العميل

بعد ذلك ، قم بإنشاء سر العميل ، والذي سيكون بمثابة بيانات اعتماد عند التوقيع.

1. انقر الشهادات والأسرار في القائمة اليسرى.
   
2. انقر سر العميل الجديد.
   
3. امنح العميل سرًا أ الوصف، قم بتعيين انتهاء الصلاحية حسب الرغبة ، وانقر فوق أضف .
   
4. نسخ القيم من سر عميلك الجديد فورا واحفظه في مكان آمن. في المرة التالية التي يتم فيها تحديث الصفحة ، سيتم إخفاء هذه القيمة ولا يمكن استرجاعها.
   

الخطوة 3: تمكين الوصول في Key Vault

الآن ، ستحتاج إلى تمكين الوصول لتطبيقك في Azure Key Vault.

1. انتقل إلى Key Vault الذي يحتوي على الشهادة التي تريد استخدامها للتوقيع وانقر فوق سياسات الوصول الرابط.
   
2. انقر أضف نهج الوصول.
   
3. تحت أذونات المفتاح، تمكين Sign.
   
4. تحت أذونات الشهادة، تمكين Get.
   
5. انقر على لم يتم تحديد أي منها رابط تحت حدد رأس المال، ثم استخدم حقل البحث لتحديد التطبيق الذي أنشأته في القسم السابق وتحديده.
   
6. انقر على أختار .
   
7. انقر على أضف .
   
8. انقر حفظ.
   
9. تم تعيين سياسة الوصول الخاصة بك ، وأنت على استعداد لبدء توقيع الملفات.
   

الخطوة الرابعة: التوقيع على ملف

أنت الآن جاهز أخيرًا لتوقيع بعض التعليمات البرمجية!

1. ستحتاج إلى المعلومات التالية المتوفرة:
   • حل متجر العقارات الشامل الخاص بك في جورجيا مفتاح Vault URI (متوفر في بوابة Azure):
     
   • • اسم مألوف من شهادتك في Key Vault:
     
   • • معرف التطبيق (العميل) القيمة من تطبيق Azure الخاص بك:
     
   • • المتسوق السري الذي أنشأته أعلاه:
     
2. يوجد أدناه مثال لأمر في PowerShell لتوقيع ملف وطابعه الزمني باستخدام Azure Sign Tool. استبدل القيم بالأحرف الكبيرة بمعلوماتك الفعلية:

   علامة azuresigntool-kvu KEY-VAULT-URI -شهادة kvc-الاسم-kvi APPLICATION-CLIENT-ID -kvs Client-SECRET -tr http://ts.ssl.com/ -td sha256 PATH-TO-EXECUTABLE

   ملحوظة: بشكل افتراضي ، يدعم SSL.com الطوابع الزمنية من مفاتيح ECDSA.
   
   إذا واجهت هذا الخطأ: The timestamp certificate does not meet a minimum public key length requirement، يجب عليك الاتصال ببائع البرنامج للسماح بالطوابع الزمنية من مفاتيح ECDSA.
   
   إذا لم تكن هناك طريقة تسمح لمورّد البرامج لديك باستخدام نقطة النهاية العادية ، فيمكنك استخدام نقطة النهاية القديمة هذه http://ts.ssl.com/legacy للحصول على طابع زمني من وحدة طابع زمني RSA.
3. في حالة نجاح التوقيع ، يجب أن ترى الإخراج مثل ما يلي (لن ينتج عن التوقيع غير الناجح أي مخرجات):

   info: AzureSignTool.Program [0] => الملف: test.exe ملف التوقيع معلومات test.exe: AzureSignTool.Program [0] => الملف: test.exe اكتمل التوقيع بنجاح لملف test.exe. معلومات ملاحظة ج: \ المستخدمون \ آرون راسل \ سطح المكتب>

4. ستتوفر تفاصيل حول التوقيع الرقمي الجديد في خصائص الملف: