Tutorial ini memberikan pengenalan penandatanganan kode dengan Azure DevOps, menggunakan sertifikat yang disimpan di Azure Key Vault. Untuk mengikuti instruksi ini, Anda perlu:
- An Akun Azure
- A Proyek DevOps
- A Vault Kunci
- A sertifikat penandatanganan kode dipasang di Key Vault Anda. Anda bisa:
Buka artikel ini untuk panduan tentang cara mengintegrasikan eSigner dengan Azure DevOps: Panduan Integrasi Penandatanganan Cloud Azure DevOps.
Daftarkan Aplikasi Azure
Pertama, Anda harus mendaftarkan aplikasi Azure baru sehingga Anda dapat terhubung ke Key Vault untuk penandatanganan.
- Masuk ke Portal Azure.
- Navigasi ke Azure Active Directory. (Klik Lebih banyak layanan jika ikon Azure Active Directory tidak terlihat.)
- Klik Pendaftaran Aplikasi, di kolom kiri.
- Klik Pendaftaran baru.
- Berikan aplikasi Anda a Nama Dan klik Daftar tombol. Biarkan pengaturan lain pada nilai defaultnya.
- Aplikasi baru Anda telah terdaftar. Salin dan simpan nilai yang ditunjukkan untuk ID aplikasi (klien), karena Anda akan membutuhkannya nanti.
Buat Rahasia Klien
Selanjutnya, buat rahasia klien, yang akan berfungsi sebagai kredensial saat masuk.
- Klik Sertifikat & rahasia di menu sebelah kiri.
- Klik Rahasia klien baru.
- Berikan rahasia klien Anda a Deskripsi Produk, setel kedaluwarsa sesuai keinginan, dan klik Add .
- Salin Nilai rahasia klien baru Anda segera dan menyimpannya di tempat yang aman. Kali berikutnya halaman di-refresh, nilai ini akan disamarkan dan tidak dapat diambil kembali.
Aktifkan Akses di Key Vault
Sekarang, Anda harus mengaktifkan akses untuk aplikasi Anda di Azure Key Vault.
- Arahkan ke Key Vault yang berisi sertifikat yang ingin Anda gunakan untuk masuk dan klik Kebijakan akses link.
- Klik Tambahkan Kebijakan Akses.
- Bawah Izin Kunci, aktifkan
Verify
,Sign
,Get
, danList
.
- Bawah Izin rahasia, aktifkan
Get
danList
.
- Bawah Izin sertifikat, aktifkan
Get
danList
.
- klik Tidak ada yang di pilih tautan, di bawah Pilih kepala sekolah, lalu gunakan bidang pencarian untuk mencari dan memilih aplikasi yang Anda buat di bagian sebelumnya.
- klik Pilih .
- klik Add .
- Klik Save.
- Kebijakan akses Anda disetel.
Konfigurasikan DevOps Build
Sekarang Anda dapat mengonfigurasi build Anda. Buka proyek Anda di Azure DevOps.
Simpan Kredensial Aplikasi sebagai Variabel
Anda dapat menyertakan ID aplikasi dan rahasia klien Anda langsung di file pipeline YAML, tetapi lebih aman jika Anda menyimpannya sebagai variabel di DevOps.
- Klik Jaringan pipa.
- Klik Perpustakaan.
- Klik + Kelompok variabel.
- Beri nama grup variabel Anda.
- Klik Add.
- Masukkan nama variabel untuk ID aplikasi Anda, lalu tempelkan nilainya. Klik kunci untuk mengenkripsi variabel setelah Anda selesai.
- Ulangi proses tersebut untuk menambahkan variabel untuk rahasia klien Anda.
- Klik Save.
- Tautkan grup variabel di pipeline Anda. (ganti VARIABLE-GROUP dengan nama grup variabel Anda yang sebenarnya.)
variabel: - grup: 'VARIABLE-GROUP'
Tambahkan Langkah Pipa untuk Menginstal Alat Azure Sign
Alat Tanda Azure adalah utilitas sumber terbuka yang menawarkan Alat Tanda fungsionalitas untuk sertifikat dan kunci yang disimpan di Azure Key Vault. Tambahkan langkah berikut di pipeline Anda untuk menginstal Azure Sign Tool:
- tugas: DotNetCoreCLI @ 2 input: perintah: 'custom' custom: 'tool' argumen: 'install --global azuresigntool' displayName: Instal AzureSignTool
Tambahkan Perintah Alat Azure Sign ke Pipeline
- Sekarang Anda dapat menambahkan tugas untuk menandatangani kode Anda ke pipeline. Anda akan membutuhkan informasi berikut:
- Tambahkan panggilan Alat Tanda Azure ke saluran Anda. Ganti nilai yang ditampilkan di ALL-CAPS dengan nilai Anda yang sebenarnya:
- tugas: CmdLine @ 2 input: script: AzureSignTool sign -kvu "KEY-VAULT-URI" -kvi "$ (APPLICATION-ID-VAR)" -kvs "$ (CLIENT-SECRET-VAR)" -kvc CERTIFICATE-NAME -tr "http://ts.ssl.com" -td sha256 "FILE-TO-SIGN" tampilanNama: Kode Tanda
- Anda akan melihat keluaran seperti ini jika penandatanganan berhasil:
info: AzureSignTool.Program [0] => File: D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe Menandatangani file D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe info: AzureSignTool. Program [0] => File: D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe Penandatanganan berhasil diselesaikan untuk file D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe.