SSL.com

Signature de code avec Azure DevOps

Équipe d'assistance SSL.com

Ce didacticiel donne une introduction à la signature de code avec Azure DevOps, à l'aide d'un certificat stocké dans Azure Key Vault. Pour suivre ces instructions, vous aurez besoin de:

Le service de signature de code cloud eSigner de SSL.com permet désormais une intégration facile avec les outils CI/CD populaires, y compris Azure DevOps, pour la signature automatisée du code. eSigner vous permet d'ajouter facilement des signatures numériques et des horodatages mondialement reconnus à votre code, où que vous soyez, sans avoir besoin de jetons USB, de HSM ou d'autres matériels spéciaux.

Rendez-vous sur cet article pour un guide sur la façon d'intégrer eSigner avec Azure DevOps : Guide d'intégration Azure DevOps Cloud Signing.

Inscrire une application Azure

Tout d'abord, vous devez enregistrer une nouvelle application Azure afin de pouvoir vous connecter à votre Key Vault pour la signature.

  1. Connectez-vous à la Portail Azure.
    Connectez-vous à Azure
  2. Accédez à Azure Active Directory. (Cliquez Plus de services si l'icône Azure Active Directory n'est pas visible.)
  3. Cliquez Inscriptions d'applications, dans la colonne de gauche.
  4. Cliquez Nouvelle inscription.
  5. Donnez à votre candidature un Nom Et cliquez sur le Inscription bouton. Laissez les autres paramètres à leurs valeurs par défaut.
  6. Votre nouvelle application a été enregistrée. Copiez et enregistrez la valeur indiquée pour ID de l'application (client), car vous en aurez besoin plus tard.
Haut de Page

Créer un secret client

Ensuite, générez un secret client, qui servira d'informations d'identification lors de la signature.

  1. Cliquez Certificats et secrets dans le menu de gauche.
  2. Cliquez Nouveau secret client.
  3. Donnez à votre client un secret Description, définissez l'expiration comme vous le souhaitez et cliquez sur le Ajouter .
  4. Copiez le Valeur de votre nouveau secret client immédiatement et enregistrez-le dans un endroit sûr. La prochaine fois que la page sera actualisée, cette valeur sera masquée et irrécupérable.

Haut de Page

Activer l'accès dans Key Vault

Vous devez maintenant activer l'accès pour votre application dans Azure Key Vault.

  1. Accédez au Key Vault contenant le certificat que vous souhaitez utiliser pour la signature et cliquez sur le bouton Politiques d'accès lien.
  2. Cliquez Ajouter une politique d'accès.
  3. Sous Autorisations clés, activer VerifySign, Getet List.
  4. Sous Autorisations secrètes, activer Get ainsi que List.
  5. Sous Autorisations de certificat, activer Get ainsi que List.
  6. Cliquez Aucune sélection lien, sous Sélectionnez le principal, puis utilisez le champ de recherche pour localiser et sélectionner l'application que vous avez créée dans la section précédente.
  7. Cliquez Sélectionnez .
  8. Cliquez Ajouter .
  9. Cliquez Épargnez.
  10. Votre politique d'accès est définie.
Haut de Page

Configurer la version DevOps

Vous pouvez maintenant configurer votre build. Ouvrez votre projet dans Azure DevOps.

Stocker les informations d'identification de l'application en tant que variables

Vous pouvez inclure votre ID d'application et votre secret client directement dans votre fichier de pipeline YAML, mais c'est plus sécurisé si vous les stockez en tant que variables dans DevOps.

  1. Cliquez Pipelines.
  2. Cliquez Bibliothèque.
  3. Cliquez + Groupe variable.
  4. Donnez un nom à votre groupe de variables.
  5. Cliquez Ajouter.
  6. Entrez un nom de variable pour votre ID d'application, puis collez la valeur. Cliquez sur le verrou pour crypter la variable lorsque vous avez terminé.
  7. Répétez le processus pour ajouter une variable pour votre secret client.
  8. Cliquez Épargnez.
  9. Liez le groupe de variables dans votre pipeline. (remplacez VARIABLE-GROUP par le nom de votre groupe de variables réel.) 
    variables: - groupe: 'VARIABLE-GROUP'
Haut de Page

Ajouter une étape de pipeline pour installer l'outil de signature Azure

Outil de signature Azure est un utilitaire open source qui offre Outil de signature fonctionnalité pour les certificats et les clés stockés dans Azure Key Vault. Ajoutez l'étape suivante dans votre pipeline pour installer Azure Sign Tool:

- tâche: DotNetCoreCLI @ 2 entrées: commande: 'custom' custom: 'tool' arguments: 'install --global azuresigntool' displayName: Install AzureSignTool
Haut de Page

Ajouter la commande de l'outil de signature Azure au pipeline

  1. Vous pouvez maintenant ajouter une tâche pour signer votre code dans le pipeline. Vous aurez besoin des informations suivantes:
    • Votre URI de Key Vault (disponible dans le portail Azure):
    • Le nom convivial de votre certificat dans Key Vault:
    • Votre ID d'application ainsi que Secret client noms de variables:
  2. Ajoutez l'appel Azure Sign Tool à votre pipeline. Remplacez les valeurs affichées en MAJUSCULES par vos valeurs réelles: 
    - tâche: CmdLine @ 2 entrées: script: AzureSignTool sign -kvu "KEY-VAULT-URI" -kvi "$ (APPLICATION-ID-VAR)" -kvs "$ (CLIENT-SECRET-VAR)" -kvc CERTIFICATE-NAME -tr "http://ts.ssl.com" -td sha256 "FILE-TO-SIGN" displayName: Code de signe
  3. Vous devriez voir une sortie comme celle-ci si la signature réussit: 
    info: AzureSignTool.Program [0] => Fichier: D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe Fichier de signature D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe info: AzureSignTool. Programme [0] => Fichier: D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe Signature réussie pour le fichier D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe.

SSL.com EV Signature du code Les certificats aident à protéger votre code contre les falsifications non autorisées et les compromis avec le plus haut niveau de validation, et sont disponibles pour aussi peu que 249 $ par année. Vous pouvez également utilisez votre certificat EV Code Signing à grande échelle dans le cloud avec eSigner. Avec son option automatisée, eSigner convient à la signature de code d'entreprise.

COMMANDER MAINTENANT

Quitter la version mobile