Podepisování kódu pomocí Azure DevOps

Tento kurz poskytuje úvod do podepisování kódu pomocí Azure DevOps pomocí certifikátu uloženého v Azure Key Vault. Chcete-li postupovat podle těchto pokynů, budete potřebovat:

• An Účet Azure
• A Projekt DevOps
• A Trezor klíčů
• A certifikát pro podpis kódu nainstalován ve vašem Key Vault. Můžeš buď:
  • Generovat a CSR a nainstalujte certifikát do Key Vault or
  • Importujte certifikát do Key Vault

Zaregistrujte si aplikaci Azure

Nejprve budete muset zaregistrovat novou aplikaci Azure, abyste se mohli připojit k Key Vault k podpisu.

1. Přihlaste se do Azurský portál.
   
2. přejděte na Azure Active Directory. (Klikněte na Další služby pokud ikona Azure Active Directory není viditelná.)
   
3. klikněte Registrace aplikací, v levém sloupci.
   
4. klikněte Nová registrace.
   
5. Dejte své žádosti a Příjmení a klepněte na tlačítko Registrace knoflík. Nechte ostatní nastavení na jejich výchozí hodnoty.
   
6. Vaše nová aplikace byla zaregistrována. Zkopírujte a uložte zobrazenou hodnotu pro ID aplikace (klienta), protože to budete později potřebovat.
   

Vytvořte klientské tajemství

Dále vygenerujte klientské tajemství, které bude při podpisu sloužit jako pověření.

1. klikněte Certifikáty a tajemství v levé nabídce.
   
2. klikněte Nové tajemství klienta.
   
3. Dejte svému klientovi tajemství Popis, podle potřeby nastavte dobu platnosti a klikněte na přidat .
   
4. Zkopírujte Hodnota vašeho nového klientského tajemství ihned a uložte jej na bezpečném místě. Při příštím obnovení stránky bude tato hodnota maskovaná a nenávratná.
   
   

Povolte přístup v Key Vault

Nyní budete muset povolit přístup pro svou aplikaci v Azure Key Vault.

1. Přejděte do Key Vault obsahující certifikát, který chcete použít k podepisování, a klikněte na Zásady přístupu odkaz.
   
2. klikněte Přidat zásady přístupu.
   
3. Pod Klíčová oprávnění, povolit Verify,  Sign, Get, a List.
   
4. Pod Tajná oprávnění, povolit Get a List.
   
5. Pod Oprávnění k certifikátu, povolit Get a List.
   
6. Klepněte na tlačítko Není vybrán žádný odkaz pod Vyberte jistinu, pak pomocí vyhledávacího pole vyhledejte a vyberte aplikaci, kterou jste vytvořili v předchozí části.
   
7. Klepněte na tlačítko vybrat .
   
8. Klepněte na tlačítko přidat .
   
9. klikněte Uložit.
   
10. Vaše zásady přístupu jsou nastaveny.
    

Nakonfigurujte DevOps Build

Nyní můžete nakonfigurovat své sestavení. Otevřete svůj projekt v Azure DevOps.

Uložit pověření aplikace jako proměnné

Vaše ID aplikace a tajný klíč klienta můžete zahrnout přímo do souboru kanálu YAML, ale je bezpečnější, pokud je uložíte jako proměnné v DevOps.

1. klikněte Potrubí.
   
2. klikněte Knihovna.
   
3. klikněte + Variabilní skupina.
   
4. Pojmenujte skupinu proměnných.
   
5. klikněte přidat.
   
6. Zadejte název proměnné pro ID aplikace a vložte hodnotu. Po dokončení klikněte na zámek a zašifrujte proměnnou.
   
7. Opakujte postup a přidejte proměnnou pro své klientské tajemství.
   
8. klikněte Uložit.
   
9. Propojte skupinu proměnných ve svém kanálu. (nahraďte VARIABLE-GROUP názvem vaší aktuální skupiny proměnných.)

   proměnné: - skupina: 'VARIABLE-GROUP'

Přidejte krok kanálu k instalaci nástroje Azure Sign Tool

Nástroj Azure Sign je open-source nástroj, který nabízí SignTool funkce pro certifikáty a klíče uložené v Azure Key Vault. Přidejte do svého kanálu následující krok a nainstalujte nástroj Azure Sign Tool:

- úkol: DotNetCoreCLI @ 2 vstupy: příkaz: 'custom' custom: 'tool' argumenty: 'install --global azuresigntool' displayName: Install AzureSignTool

Přidejte příkaz Azure Sign Tool do kanálu

1. Nyní můžete přidat úkol k podepsání kódu do kanálu. Budete potřebovat následující informace:
   • váš Identifikátor URI trezoru klíčů (k dispozici na webu Azure Portal):
     
   • Popisný název vašeho certifikátu v Key Vault:
     
   • váš ID aplikace a Tajemství klienta názvy proměnných:
     
2. Přidejte do svého kanálu volání nástroje Azure Sign Tool. Nahraďte hodnoty zobrazené v ALL-CAPS vašimi skutečnými hodnotami:

   - úkol: CmdLine @ 2 vstupy: skript: AzureSignTool sign -kvu "KEY-VAULT-URI" -kvi "$ (APPLICATION-ID-VAR)" -kvs "$ (CLIENT-SECRET-VAR)" -kvc CERTIFIKÁT-NÁZEV -tr "http://ts.ssl.com" -td sha256 "SOUBOR K PODPISU" displayName: podpisový kód

3. Pokud je podepsání úspěšné, měli byste vidět tento výstup:

   info: AzureSignTool.Program [0] => Soubor: D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe Podepisovací soubor D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe informace: AzureSignTool. Program [0] => Soubor: D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe Podepisování bylo úspěšně dokončeno pro soubor D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe.