Υπογραφή κώδικα με Azure Key Vault

Αυτό το σεμινάριο θα σας δείξει πώς να υπογράψετε αρχεία από τη γραμμή εντολών των Windows με ένα πιστοποιητικό υπογραφής κώδικα και ένα ιδιωτικό κλειδί αποθηκευμένο στο Azure Key Vault. Για να ακολουθήσετε αυτές τις οδηγίες θα χρειαστείτε:

• An Azure λογαριασμός
• A Θησαυροφυλάκιο κλειδιών
• A πιστοποιητικό υπογραφής κώδικα εγκατεστημένο στο Key Vault. Μπορείς είτε:
  • Δημιουργήστε ένα CSR και εγκαταστήστε ένα πιστοποιητικό στο Key Vault or
  • Εισαγάγετε ένα πιστοποιητικό στο Key Vault
• Εργαλείο Azure Sign εγκατεστημένο στον υπολογιστή που θα χρησιμοποιήσετε για υπογραφή

Τι είναι το εργαλείο Azure Sign;

Εργαλείο Azure Sign είναι ένα βοηθητικό πρόγραμμα ανοιχτού κώδικα που προσφέρει SignTool λειτουργικότητα για πιστοποιητικά και κλειδιά που είναι αποθηκευμένα στο Azure Key Vault. Μπορείτε να εγκαταστήσετε το Azure Sign Tool με την ακόλουθη εντολή στο Windows PowerShell (απαιτείται .NET SDK):

dotnet tool install --global AzureSignTool

Βήμα 1: Καταχωρήστε μια νέα εφαρμογή Azure

Αρχικά, θα πρέπει να εγγραφείτε μια νέα εφαρμογή Azure, ώστε να μπορείτε να συνδεθείτε στο Key Vault για υπογραφή.

1. Συνδεθείτε στο Azure πύλη.
   
2. Πλοηγηθείτε στο Azure Active Directory. (Κάντε κλικ Περισσότερες υπηρεσίες αν το εικονίδιο του Azure Active Directory δεν είναι ορατό.)
   
3. Πατήστε Εγγραφές εφαρμογών, στην αριστερή στήλη.
   
4. Πατήστε Νέα καταχώρηση.
   
5. Δώστε την αίτησή σας α Όνομα Και κάντε κλικ στο Εγγραφείτε κουμπί. Αφήστε τις άλλες ρυθμίσεις στις προεπιλεγμένες τιμές τους.
   
6. Η νέα σας αίτηση έχει καταχωριστεί. Αντιγράψτε και αποθηκεύστε την τιμή που εμφανίζεται για Αναγνωριστικό εφαρμογής (πελάτη), γιατί θα το χρειαστείτε αργότερα.
   
7. Πατήστε Πιστοποίηση.
   
8. Κάτω από Ρυθμίσεις για προχωρημένους, ρυθμίστε Να επιτρέπονται οι δημόσιες ροές πελατών προς την Yes.
   
9. Πατήστε Αποθήκευση.
   

Βήμα 2: Δημιουργήστε ένα μυστικό πελάτη

Στη συνέχεια, δημιουργήστε ένα μυστικό πελάτη, το οποίο θα χρησιμεύσει ως διαπιστευτήριο κατά την υπογραφή.

1. Πατήστε Πιστοποιητικά και μυστικά στο αριστερό μενού.
   
2. Πατήστε Νέο μυστικό πελάτη.
   
3. Δώστε στον πελάτη σας μυστικό α Περιγραφή, ορίστε τη λήξη όπως θέλετε και κάντε κλικ στο Πρόσθεση κουμπί.
   
4. αντιγράψτε το αξία του νέου μυστικού πελάτη σας αμέσως και αποθηκεύστε το σε ασφαλές μέρος. Την επόμενη φορά που θα ανανεωθεί η σελίδα, αυτή η τιμή θα καλυφθεί και δεν μπορεί να ανακτηθεί.
   

Βήμα 3: Ενεργοποίηση πρόσβασης στο Key Vault

Τώρα, θα πρέπει να ενεργοποιήσετε την πρόσβαση για την εφαρμογή σας στο Azure Key Vault.

1. Μεταβείτε στο Key Vault που περιέχει το πιστοποιητικό που θέλετε να χρησιμοποιήσετε για υπογραφή και κάντε κλικ στο Πολιτικές πρόσβασης σύνδεσμο.
   
2. Πατήστε Προσθήκη πολιτικής πρόσβασης.
   
3. Κάτω από Βασικά δικαιώματα, επιτρέπω Sign.
   
4. Κάτω από Άδειες πιστοποιητικών, επιτρέπω Get.
   
5. Κάντε κλικ στο Κανένα επιλεγμένο σύνδεσμος, κάτω Επιλέξτε κύριοκαι, στη συνέχεια, χρησιμοποιήστε το πεδίο αναζήτησης για να εντοπίσετε και να επιλέξετε την εφαρμογή που δημιουργήσατε στην προηγούμενη ενότητα.
   
6. Κάντε κλικ στο Αγορά κουμπί.
   
7. Κάντε κλικ στο Πρόσθεση κουμπί.
   
8. Πατήστε Αποθήκευση.
   
9. Η πολιτική πρόσβασής σας έχει οριστεί και είστε έτοιμοι να ξεκινήσετε την υπογραφή αρχείων.
   

Βήμα 4: Υπογράψτε ένα αρχείο

Τώρα είστε τελικά έτοιμοι να υπογράψετε κάποιο κωδικό!

1. Θα χρειαστείτε τις ακόλουθες διαθέσιμες πληροφορίες:
   • Σας URI κλειδιού Vault (διατίθεται στην πύλη Azure):
     
   • Η φιλικό όνομα του πιστοποιητικού σας στο Key Vault:
     
   • Η Αναγνωριστικό εφαρμογής (πελάτη) τιμή από την εφαρμογή Azure:
     
   • Η μυστικό πελάτη δημιουργήσατε παραπάνω:
     
2. Ακολουθεί μια παραδειγματική εντολή στο PowerShell για υπογραφή και χρονική σήμανση ενός αρχείου με το Azure Sign Tool. Αντικαταστήστε τις τιμές σε ΟΛΕΣ τις ΚΓΠ με τις πραγματικές πληροφορίες σας:

   azuresigntool sign -kvu KEY-VAULT-URI -kvc ΠΙΣΤΟΠΟΙΗΤΙΚΟ-ΟΝΟΜΑ -kvi ΕΦΑΡΜΟΓΗ-ΠΕΛΑΤΗΣ-ID -kvs CLIENT-SECRET -tr http://ts.ssl.com/ -td sha256 PATH-TO-EXECUTABLE

   Σημείωση: Από προεπιλογή, το SSL.com υποστηρίζει χρονικές σημάνσεις από κλειδιά ECDSA.
   
   Εάν αντιμετωπίσετε αυτό το σφάλμα: The timestamp certificate does not meet a minimum public key length requirement, θα πρέπει να επικοινωνήσετε με τον προμηθευτή του λογισμικού σας για να επιτρέψετε χρονικές σημάνσεις από κλειδιά ECDSA.
   
   Εάν δεν υπάρχει τρόπος για τον προμηθευτή του λογισμικού σας να επιτρέψει τη χρήση του κανονικού τερματικού σημείου, μπορείτε να χρησιμοποιήσετε αυτό το παλαιού τύπου τελικό σημείο http://ts.ssl.com/legacy για να λάβετε μια χρονική σήμανση από μια μονάδα χρονοσήμανσης RSA.
3. Εάν η υπογραφή είναι επιτυχής, θα πρέπει να δείτε την έξοδο όπως η ακόλουθη (η αποτυχημένη υπογραφή δεν θα παράγει έξοδο):

   πληροφορίες: AzureSignTool.Program [0] => Αρχείο: test.exe Αρχείο υπογραφής test.exe πληροφορίες: AzureSignTool.Program [0] => Αρχείο: test.exe Η υπογραφή ολοκληρώθηκε με επιτυχία για το αρχείο test.exe. πληροφορίες PS C: \ Users \ Aaron Russell \ Desktop>

4. Λεπτομέρειες σχετικά με τη νέα ψηφιακή υπογραφή θα είναι διαθέσιμες στις ιδιότητες του αρχείου: