Tento kurz poskytuje úvod do podepisování kódu pomocí Azure DevOps pomocí certifikátu uloženého v Azure Key Vault. Chcete-li postupovat podle těchto pokynů, budete potřebovat:
- An Účet Azure
- A Projekt DevOps
- A Trezor klíčů
- A certifikát pro podpis kódu nainstalován ve vašem Key Vault. Můžeš buď:
Přejděte do tohoto článku, kde najdete návod, jak integrovat eSigner s Azure DevOps: Průvodce integrací cloudového podpisu Azure DevOps.
Zaregistrujte si aplikaci Azure
Nejprve budete muset zaregistrovat novou aplikaci Azure, abyste se mohli připojit k Key Vault k podpisu.
- Přihlaste se do Azurský portál.
- přejděte na Azure Active Directory. (Klikněte na Další služby pokud ikona Azure Active Directory není viditelná.)
- klikněte Registrace aplikací, v levém sloupci.
- klikněte Nová registrace.
- Dejte své žádosti a Příjmení a klepněte na tlačítko Registrace knoflík. Nechte ostatní nastavení na jejich výchozí hodnoty.
- Vaše nová aplikace byla zaregistrována. Zkopírujte a uložte zobrazenou hodnotu pro ID aplikace (klienta), protože to budete později potřebovat.
Vytvořte klientské tajemství
Dále vygenerujte klientské tajemství, které bude při podpisu sloužit jako pověření.
- klikněte Certifikáty a tajemství v levé nabídce.
- klikněte Nové tajemství klienta.
- Dejte svému klientovi tajemství Popis, podle potřeby nastavte dobu platnosti a klikněte na přidat .
- Zkopírujte Hodnota vašeho nového klientského tajemství ihned a uložte jej na bezpečném místě. Při příštím obnovení stránky bude tato hodnota maskovaná a nenávratná.
Povolte přístup v Key Vault
Nyní budete muset povolit přístup pro svou aplikaci v Azure Key Vault.
- Přejděte do Key Vault obsahující certifikát, který chcete použít k podepisování, a klikněte na Zásady přístupu odkaz.
- klikněte Přidat zásady přístupu.
- Pod Klíčová oprávnění, povolit
Verify
,Sign
,Get
, aList
.
- Pod Tajná oprávnění, povolit
Get
aList
.
- Pod Oprávnění k certifikátu, povolit
Get
aList
.
- Klepněte na tlačítko Není vybrán žádný odkaz pod Vyberte jistinu, pak pomocí vyhledávacího pole vyhledejte a vyberte aplikaci, kterou jste vytvořili v předchozí části.
- Klepněte na tlačítko vybrat .
- Klepněte na tlačítko přidat .
- klikněte Uložit.
- Vaše zásady přístupu jsou nastaveny.
Nakonfigurujte DevOps Build
Nyní můžete nakonfigurovat své sestavení. Otevřete svůj projekt v Azure DevOps.
Uložit pověření aplikace jako proměnné
Vaše ID aplikace a tajný klíč klienta můžete zahrnout přímo do souboru kanálu YAML, ale je bezpečnější, pokud je uložíte jako proměnné v DevOps.
- klikněte Potrubí.
- klikněte Knihovna.
- klikněte + Variabilní skupina.
- Pojmenujte skupinu proměnných.
- klikněte přidat.
- Zadejte název proměnné pro ID aplikace a vložte hodnotu. Po dokončení klikněte na zámek a zašifrujte proměnnou.
- Opakujte postup a přidejte proměnnou pro své klientské tajemství.
- klikněte Uložit.
- Propojte skupinu proměnných ve svém kanálu. (nahraďte VARIABLE-GROUP názvem vaší aktuální skupiny proměnných.)
proměnné: - skupina: 'VARIABLE-GROUP'
Přidejte krok kanálu k instalaci nástroje Azure Sign Tool
Nástroj Azure Sign je open-source nástroj, který nabízí SignTool funkce pro certifikáty a klíče uložené v Azure Key Vault. Přidejte do svého kanálu následující krok a nainstalujte nástroj Azure Sign Tool:
- úkol: DotNetCoreCLI @ 2 vstupy: příkaz: 'custom' custom: 'tool' argumenty: 'install --global azuresigntool' displayName: Install AzureSignTool
Přidejte příkaz Azure Sign Tool do kanálu
- Nyní můžete přidat úkol k podepsání kódu do kanálu. Budete potřebovat následující informace:
- Přidejte do svého kanálu volání nástroje Azure Sign Tool. Nahraďte hodnoty zobrazené v ALL-CAPS vašimi skutečnými hodnotami:
- úkol: CmdLine @ 2 vstupy: skript: AzureSignTool sign -kvu "KEY-VAULT-URI" -kvi "$ (APPLICATION-ID-VAR)" -kvs "$ (CLIENT-SECRET-VAR)" -kvc CERTIFIKÁT-NÁZEV -tr "http://ts.ssl.com" -td sha256 "SOUBOR K PODPISU" displayName: podpisový kód
- Pokud je podepsání úspěšné, měli byste vidět tento výstup:
info: AzureSignTool.Program [0] => Soubor: D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe Podepisovací soubor D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe informace: AzureSignTool. Program [0] => Soubor: D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe Podepisování bylo úspěšně dokončeno pro soubor D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe.