Подписване на код с Azure DevOps

Този урок дава въведение в подписването на код с Azure DevOps, като се използва сертификат, съхраняван в Azure Key Vault. За да следвате тези инструкции, ще ви трябва:

• An Акаунт в Azure
• A Проект DevOps
• A Сейф за ключове
• A сертификат за подписване на код инсталиран във вашия Vault Key. Можете да:
  • Генериране на a CSR и инсталирайте сертификат в Key Vault or
  • Импортирайте сертификат в Key Vault

Регистрирайте приложение за Azure

Първо, ще трябва да регистрирате ново приложение на Azure, за да можете да се свържете с Key Vault за подписване.

1. Влезте в Azure портал.
   
2. Отидете до Azure Active Directory, (Кликнете Повече услуги ако иконата на Azure Active Directory не се вижда.)
   
3. Кликнете Регистрации на приложения, в лявата колона.
   
4. Кликнете Нова регистрация.
   
5. Дайте на молбата си a Име и кликнете върху Регистрация бутон. Оставете останалите настройки на стойностите им по подразбиране.
   
6. Вашето ново приложение е регистрирано. Копирайте и запишете показаната стойност за Идент. № на приложението (клиента), защото ще ви трябва по-късно.
   

Създайте клиентска тайна

След това генерирайте тайна на клиента, която ще служи като идентификационна информация при подписване.

1. Кликнете Сертификати и тайни в менюто отляво.
   
2. Кликнете Нова тайна на клиента.
   
3. Дайте на клиента си тайна a Описание, задайте срока на действие по желание и щракнете върху Добави бутон.
   
4. Копирайте Стойност на новата ви тайна на клиента веднага и го запазете на сигурно място. Следващият път, когато страницата се обнови, тази стойност ще бъде маскирана и безвъзвратна.
   
   

Активирайте достъпа в сейфа на ключове

Сега ще трябва да разрешите достъп за вашето приложение в Azure Key Vault.

1. Придвижете се до хранилището на ключове, съдържащо сертификата, който искате да използвате за подписване, и щракнете върху Политики за достъп връзка.
   
2. Кликнете Добавете Политика за достъп.
   
3. Под Ключови разрешения, активирайте Verify,  Sign, Get, и List.
   
4. Под Тайни разрешения, активирайте Get намлява List.
   
5. Под Разрешения за сертификати, активирайте Get намлява List.
   
6. Щракнете върху Няма избрани връзка, под Изберете главен, след това използвайте полето за търсене, за да намерите и изберете приложението, което сте създали в предишния раздел.
   
7. Щракнете върху Изберете бутон.
   
8. Щракнете върху Добави бутон.
   
9. Кликнете Save.
   
10. Политиката ви за достъп е зададена.
    

Конфигурирайте DevOps Build

Сега можете да конфигурирате вашата компилация. Отворете проекта си в Azure DevOps.

Съхранявайте идентификационните данни на приложенията като променливи

Можете да включите идентификатора на приложението си и тайната на клиента директно във вашия YAML конвейерен файл, но е по-сигурно, ако ги съхранявате като променливи в DevOps.

1. Кликнете Тръбопроводи.
   
2. Кликнете Библиотека.
   
3. Кликнете + Променлива група.
   
4. Дайте име на вашата променлива група.
   
5. Кликнете Добави.
   
6. Въведете име на променлива за идентификатора на приложението си, след което поставете стойността. Щракнете върху ключалката, за да шифровате променливата, когато приключите.
   
7. Повторете процеса, за да добавите променлива за вашата клиентска тайна.
   
8. Кликнете Save.
   
9. Свържете групата на променливите във вашия конвейер. (заменете VARIABLE-GROUP с името на вашата действителна група променливи.)

   променливи: - група: 'ПРОМЕНЛИВА ГРУПА'

Добавете стъпка на тръбопровода за инсталиране на инструмента за подписване на Azure

Инструмент за подписване на Azure е помощна програма с отворен код, която предлага SignTool функционалност за сертификати и ключове, съхранявани в Azure Key Vault. Добавете следната стъпка във вашия конвейер, за да инсталирате Azure Sign Tool:

- задача: DotNetCoreCLI @ 2 входа: команда: 'потребителски' потребителски: 'инструмент' аргументи: 'install --global azuresigntool' displayName: Инсталиране на AzureSignTool

Добавете командата на Azure Sign Tool към тръбопровода

1. Сега можете да добавите задача за подписване на вашия код към конвейера. Ще ви е необходима следната информация:
   • Вашият URI на ключовото хранилище (достъпно в портала на Azure):
     
   • Приятелското име на сертификата ви в Key Vault:
     
   • Вашият Идент. № на приложението намлява Клиентска тайна имена на променливи:
     
2. Добавете извикването на Azure Sign Tool към вашия конвейер. Заменете стойностите, показани в ALL-CAPS, с вашите действителни стойности:

   - задача: CmdLine @ 2 входа: скрипт: AzureSignTool знак -kvu "KEY-VAULT-URI" -kvi "$ (APPLICATION-ID-VAR)" -kvs "$ (CLIENT-SECRET-VAR)" -kvc CERTIFICATE-NAME -tr "http://ts.ssl.com" -td sha256 "FILE-TO-SIGN" displayName: Код за подпис

3. Трябва да видите изход като този, ако подписването е успешно:

   информация: AzureSignTool.Program [0] => Файл: D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe Подписващ файл D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe информация: AzureSignTool. Програма [0] => Файл: D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe Подписването е завършено успешно за файл D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe.