이 자습서에서는 Azure Key Vault에 저장된 인증서를 사용하여 Azure DevOps를 사용한 코드 서명에 대해 소개합니다. 이 지침을 따르려면 다음이 필요합니다.
- An Azure 계정
- A DevOps 프로젝트
- A 주요 금고
- A 코드 서명 인증서 Key Vault에 설치됩니다. 다음 중 하나를 수행 할 수 있습니다.
SSL.com의 eSigner 클라우드 코드 서명 서비스는 이제 널리 사용되는 CI/CD 도구와 쉽게 통합할 수 있습니다. Azure DevOps 포함, 자동화된 코드 서명용. 전자 서명자 USB 토큰, HSM 또는 기타 특수 하드웨어 없이도 어디에서나 코드에 전역적으로 신뢰할 수 있는 디지털 서명 및 타임스탬프를 편리하게 추가할 수 있습니다.
eSigner를 Azure DevOps와 통합하는 방법에 대한 가이드를 보려면 이 문서로 이동하세요. Azure DevOps 클라우드 서명 통합 가이드.
eSigner를 Azure DevOps와 통합하는 방법에 대한 가이드를 보려면 이 문서로 이동하세요. Azure DevOps 클라우드 서명 통합 가이드.
Azure 애플리케이션 등록
먼저 서명을 위해 Key Vault에 연결할 수 있도록 새 Azure 애플리케이션을 등록해야합니다.
- 로그인 Azure 포털.
- 로 이동 Azure Active Directory. (딸깍 하는 소리 더 많은 서비스 Azure Active Directory 아이콘이 표시되지 않는 경우.)
- 앱 등록, 왼쪽 열에 있습니다.
- 신규 등록.
- 응용 프로그램에 성함 를 클릭하고 회원가입 단추. 다른 설정은 기본값으로 둡니다.
- 새 응용 프로그램이 등록되었습니다. 표시된 값을 복사하고 저장하십시오. 애플리케이션 (클라이언트) ID, 나중에 필요하기 때문입니다.
클라이언트 시크릿 생성
다음으로, 서명 할 때 자격 증명으로 사용할 클라이언트 암호를 생성합니다.
- 인증서 및 비밀 왼쪽 메뉴에서
- 새 클라이언트 비밀번호.
- 고객의 비밀을 상품 설명, 원하는대로 만료를 설정하고 추가 버튼을 클릭합니다.
- 복사 가치관 새로운 클라이언트 비밀 바로 안전한 곳에 보관하십시오. 다음에 페이지를 새로 고칠 때이 값은 마스킹되고 검색 할 수 없습니다.
Key Vault에서 액세스 활성화
이제 Azure Key Vault에서 애플리케이션에 대한 액세스를 활성화해야합니다.
- 서명에 사용할 인증서가 포함 된 Key Vault로 이동하고 액세스 정책 링크를 클릭하십시오.
- 액세스 정책 추가.
- $XNUMX Million 미만 주요 권한, 활성화
Verify
,Sign
,Get
및List
.
- $XNUMX Million 미만 비밀 권한, 활성화
Get
및List
.
- $XNUMX Million 미만 인증서 권한, 활성화
Get
및List
.
- 클릭 선택하지 않음 아래 링크 교장 선택을 클릭 한 다음 검색 필드를 사용하여 이전 섹션에서 만든 응용 프로그램을 찾아 선택합니다.
- 클릭 선택 버튼을 클릭합니다.
- 클릭 추가 버튼을 클릭합니다.
- 찜하기.
- 액세스 정책이 설정되었습니다.
DevOps 빌드 구성
이제 빌드를 구성 할 수 있습니다. Azure DevOps에서 프로젝트를 엽니 다.
응용 프로그램 자격 증명을 변수로 저장
애플리케이션 ID와 클라이언트 시크릿을 YAML 파이프 라인 파일에 직접 포함 할 수 있지만 DevOps에 변수로 저장하면 더 안전합니다.
- 파이프 라인.
- 도서관.
- + 변수 그룹.
- 변수 그룹에 이름을 지정하십시오.
- 추가.
- 애플리케이션 ID의 변수 이름을 입력 한 다음 값을 붙여 넣습니다. 완료되면 잠금을 클릭하여 변수를 암호화하십시오.
- 클라이언트 시크릿에 대한 변수를 추가하려면 프로세스를 반복하십시오.
- 찜하기.
- 파이프 라인에서 변수 그룹을 연결합니다. (VARIABLE-GROUP을 실제 변수 그룹의 이름으로 바꿉니다.)
변수 :-그룹 : 'VARIABLE-GROUP'
Azure Sign 도구를 설치하기위한 파이프 라인 단계 추가
Azure 서명 도구 제공하는 오픈 소스 유틸리티입니다 서명 도구 Azure Key Vault에 저장된 인증서 및 키에 대한 기능. 파이프 라인에 다음 단계를 추가하여 Azure Sign Tool을 설치합니다.
-작업 : DotNetCoreCLI @ 2 입력 : 명령 : '사용자 지정'사용자 지정 : '도구'인수 : 'install --global azuresigntool'displayName : AzureSignTool 설치
파이프 라인에 Azure Sign 도구 명령 추가
- 이제 파이프 라인에 코드를 서명하는 작업을 추가 할 수 있습니다. 다음 정보가 필요합니다.
- 파이프 라인에 Azure Sign 도구 호출을 추가합니다. 모두 대문자로 표시된 값을 실제 값으로 바꿉니다.
-작업 : CmdLine @ 2 입력 : 스크립트 : AzureSignTool sign -kvu "KEY-VAULT-URI"-kvi "$ (APPLICATION-ID-VAR)"-kvs "$ (CLIENT-SECRET-VAR)"-kvc CERTIFICATE-NAME -tr "http://ts.ssl.com"-td sha256 "FILE-TO-SIGN"displayName : 서명 코드
- 서명이 성공하면 다음과 같은 출력이 표시되어야합니다.
정보 : AzureSignTool.Program [0] => 파일 : D : \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe 서명 파일 D : \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe 정보 : AzureSignTool. 프로그램 [0] => 파일 : D : \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe D : \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe 파일에 대한 서명이 성공적으로 완료되었습니다.
SSL.com EV 코드 서명 인증서는 최고 수준의 유효성 검사를 통해 무단 변조 및 손상으로부터 코드를 보호하는 데 도움이 되며 최소한의 비용으로 사용할 수 있습니다. 연간 $ 249. 당신은 또한 수 EV 코드 서명 인증서를 대규모로 사용 eSigner를 사용하여 클라우드에서 자동화된 옵션으로 eSigner는 엔터프라이즈 코드 서명에 적합합니다.