Υπογραφή κώδικα με Azure DevOps

Αυτό το σεμινάριο δίνει μια εισαγωγή στην υπογραφή κώδικα με το Azure DevOps, χρησιμοποιώντας ένα πιστοποιητικό που είναι αποθηκευμένο στο Azure Key Vault. Για να ακολουθήσετε αυτές τις οδηγίες θα χρειαστείτε:

• An Azure λογαριασμός
• A Έργο DevOps
• A Θησαυροφυλάκιο κλειδιών
• A πιστοποιητικό υπογραφής κώδικα εγκατεστημένο στο Key Vault. Μπορείς είτε:
  • Δημιουργήστε ένα CSR και εγκαταστήστε ένα πιστοποιητικό στο Key Vault or
  • Εισαγάγετε ένα πιστοποιητικό στο Key Vault

Καταχωρήστε μια αίτηση Azure

Αρχικά, θα πρέπει να εγγραφείτε μια νέα εφαρμογή Azure, ώστε να μπορείτε να συνδεθείτε στο Key Vault για υπογραφή.

1. Συνδεθείτε στο Azure πύλη.
   
2. Πλοηγηθείτε στο Azure Active Directory. (Κάντε κλικ Περισσότερες υπηρεσίες αν το εικονίδιο του Azure Active Directory δεν είναι ορατό.)
   
3. Πατήστε Εγγραφές εφαρμογών, στην αριστερή στήλη.
   
4. Πατήστε Νέα καταχώρηση.
   
5. Δώστε την αίτησή σας α Όνομα Και κάντε κλικ στο Εγγραφείτε κουμπί. Αφήστε τις άλλες ρυθμίσεις στις προεπιλεγμένες τιμές τους.
   
6. Η νέα σας αίτηση έχει καταχωριστεί. Αντιγράψτε και αποθηκεύστε την τιμή που εμφανίζεται για Αναγνωριστικό εφαρμογής (πελάτη), γιατί θα το χρειαστείτε αργότερα.
   

Δημιουργήστε ένα μυστικό πελάτη

Στη συνέχεια, δημιουργήστε ένα μυστικό πελάτη, το οποίο θα χρησιμεύσει ως διαπιστευτήριο κατά την υπογραφή.

1. Πατήστε Πιστοποιητικά και μυστικά στο αριστερό μενού.
   
2. Πατήστε Νέο μυστικό πελάτη.
   
3. Δώστε στον πελάτη σας μυστικό α Περιγραφή, ορίστε τη λήξη όπως θέλετε και κάντε κλικ στο Πρόσθεση κουμπί.
   
4. αντιγράψτε το αξία του νέου μυστικού πελάτη σας αμέσως και αποθηκεύστε το σε ασφαλές μέρος. Την επόμενη φορά που θα ανανεωθεί η σελίδα, αυτή η τιμή θα καλυφθεί και δεν μπορεί να ανακτηθεί.
   
   

Ενεργοποίηση πρόσβασης στο Key Vault

Τώρα, θα πρέπει να ενεργοποιήσετε την πρόσβαση για την εφαρμογή σας στο Azure Key Vault.

1. Μεταβείτε στο Key Vault που περιέχει το πιστοποιητικό που θέλετε να χρησιμοποιήσετε για υπογραφή και κάντε κλικ στο Πολιτικές πρόσβασης σύνδεσμο.
   
2. Πατήστε Προσθήκη πολιτικής πρόσβασης.
   
3. Κάτω από Βασικά δικαιώματα, επιτρέπω Verify,  Sign, Get, να List.
   
4. Κάτω από Μυστικά δικαιώματα, επιτρέπω Get και List.
   
5. Κάτω από Άδειες πιστοποιητικών, επιτρέπω Get και List.
   
6. Κάντε κλικ στο Κανένα επιλεγμένο σύνδεσμος, κάτω Επιλέξτε κύριοκαι, στη συνέχεια, χρησιμοποιήστε το πεδίο αναζήτησης για να εντοπίσετε και να επιλέξετε την εφαρμογή που δημιουργήσατε στην προηγούμενη ενότητα.
   
7. Κάντε κλικ στο Αγορά κουμπί.
   
8. Κάντε κλικ στο Πρόσθεση κουμπί.
   
9. Πατήστε Αποθήκευση.
   
10. Η πολιτική πρόσβασής σας έχει οριστεί.
    

Διαμόρφωση DevOps Build

Τώρα μπορείτε να διαμορφώσετε το build σας. Ανοίξτε το έργο σας στο Azure DevOps.

Αποθηκεύστε τα διαπιστευτήρια εφαρμογής ως μεταβλητές

Θα μπορούσατε να συμπεριλάβετε το αναγνωριστικό της εφαρμογής και το μυστικό πελάτη απευθείας στο αρχείο αγωγού YAML, αλλά είναι πιο ασφαλές εάν τα αποθηκεύσετε ως μεταβλητές στο DevOps.

1. Πατήστε Αγωγοί.
   
2. Πατήστε Βιβλιοθήκη.
   
3. Πατήστε + Μεταβλητή ομάδα.
   
4. Δώστε ένα όνομα στη μεταβλητή ομάδα σας.
   
5. Πατήστε Πρόσθεση.
   
6. Εισαγάγετε ένα όνομα μεταβλητής για το αναγνωριστικό της εφαρμογής σας και, στη συνέχεια, επικολλήστε την τιμή. Κάντε κλικ στο κλείδωμα για να κρυπτογραφήσετε τη μεταβλητή όταν τελειώσετε.
   
7. Επαναλάβετε τη διαδικασία για να προσθέσετε μια μεταβλητή για το μυστικό του πελάτη σας.
   
8. Πατήστε Αποθήκευση.
   
9. Συνδέστε την ομάδα μεταβλητών στον αγωγό σας. (αντικαταστήστε το VARIABLE-GROUP με το όνομα της πραγματικής ομάδας μεταβλητών σας.)

   μεταβλητές: - ομάδα: 'VARIABLE-GROUP'

Προσθέστε το βήμα του αγωγού για να εγκαταστήσετε το εργαλείο Azure Sign

Εργαλείο Azure Sign είναι ένα βοηθητικό πρόγραμμα ανοιχτού κώδικα που προσφέρει SignTool λειτουργικότητα για πιστοποιητικά και κλειδιά που είναι αποθηκευμένα στο Azure Key Vault. Προσθέστε το ακόλουθο βήμα στον αγωγό σας για να εγκαταστήσετε το Azure Sign Tool:

- task: DotNetCoreCLI @ 2 inputs: εντολή: 'custom' custom: 'tool' επιχειρήματα: 'install --global azuresigntool' displayName: Install AzureSignTool

Προσθέστε την εντολή Azure Sign Tool στο Pipeline

1. Τώρα μπορείτε να προσθέσετε μια εργασία για να υπογράψετε τον κωδικό σας στον αγωγό. Θα χρειαστείτε τις ακόλουθες πληροφορίες:
   • Σας URI κλειδιού Vault (διατίθεται στην πύλη Azure):
     
   • Το φιλικό όνομα του πιστοποιητικού σας στο Key Vault:
     
   • Σας Αναγνωριστικό εφαρμογής και Μυστικό πελάτη μεταβλητά ονόματα:
     
2. Προσθέστε την κλήση Azure Sign Tool στον αγωγό σας. Αντικαταστήστε τις τιμές που εμφανίζονται στο ALL-CAPS με τις πραγματικές σας τιμές:

   - task: CmdLine @ 2 inputs: script: AzureSignTool sign -kvu "KEY-VAULT-URI" -kvi "$ (APPLICATION-ID-VAR)" -kvs "$ (CLIENT-SECRET-VAR)" -kvc ΠΙΣΤΟΠΟΙΗΤΙΚΟ-ΟΝΟΜΑ -tr "http://ts.ssl.com" -td sha256 Εμφάνιση "FILE-TO-SIGN" Όνομα: Κωδικός υπογραφής

3. Θα πρέπει να βλέπετε έξοδο όπως αυτό εάν η υπογραφή είναι επιτυχής:

   info: AzureSignTool.Program [0] => Αρχείο: D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe Αρχείο υπογραφής D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe info: AzureSignTool. Πρόγραμμα [0] => Αρχείο: D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe Η υπογραφή ολοκληρώθηκε με επιτυχία για το αρχείο D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe.