Codeondertekening met Azure DevOps

Zelfstudie over het ondertekenen van code in Azure DevOps met een certificaat dat is opgeslagen in Azure Key Vault.

Deze zelfstudie geeft een inleiding tot het ondertekenen van code met Azure DevOps, met behulp van een certificaat dat is opgeslagen in Azure Key Vault. Om deze instructies te volgen heeft u nodig:

De eSigner-cloudcodeondertekeningsservice van SSL.com maakt nu eenvoudige integratie met populaire CI/CD-tools mogelijk, inclusief Azure DevOps, voor geautomatiseerde codeondertekening. eSigner kunt u gemakkelijk overal ter wereld vertrouwde digitale handtekeningen en tijdstempels aan uw code toevoegen, zonder USB-tokens, HSM's of andere speciale hardware.

Ga naar dit artikel voor een handleiding over het integreren van eSigner met Azure DevOps: Integratiehandleiding voor Azure DevOps Cloud Signing.

Registreer een Azure-toepassing

Eerst moet u een nieuwe Azure-toepassing registreren, zodat u voor ondertekening verbinding kunt maken met uw Key Vault.

  1. Log in bij de Azure-portal.
    Log in bij Azure
  2. Navigeer naar Azure Active Directory. (Klik Meer diensten als het Azure Active Directory-pictogram niet zichtbaar is.)
    Azure Active Directory
  3. Klik App-registraties, in de linkerkolom.
    App-registraties
  4. Klik Nieuwe registratie.
    Nieuwe registratie
  5. Geef uw aanvraag een Naam En klik op de knop Registreren knop. Laat de andere instellingen op hun standaardwaarden staan.
    Registreer een applicatie
  6. Uw nieuwe aanvraag is geregistreerd. Kopieer en bewaar de waarde die wordt weergegeven voor Applicatie (klant) ID, omdat je het later nodig hebt.
    Applicatie (klant) ID

Maak een clientgeheim

Genereer vervolgens een clientgeheim, dat als referentie zal dienen bij het ondertekenen.

  1. Klik Certificaten en geheimen in het linker menu.
    Certificaten en geheimen
  2. Klik Nieuw klantgeheim.
    Nieuw cliëntgeheim
  3. Geef uw cliëntgeheim een Beschrijving, stel de vervaldatum in zoals gewenst en klik op de Toevoegen knop.
    Clientgeheim toevoegen
  4. Kopieer de Waarde van uw nieuwe cliëntgeheim per direct en bewaar het op een veilige plaats. De volgende keer dat de pagina wordt vernieuwd, wordt deze waarde gemaskeerd en kan deze niet worden hersteld.
    kopieer geheime waarde

Toegang inschakelen in Key Vault

Nu moet u toegang voor uw toepassing inschakelen in Azure Key Vault.

  1. Navigeer naar de Key Vault met het certificaat dat u wilt gebruiken voor ondertekening en klik op het Toegangsbeleid link.
    Toegangsbeleid
  2. Klik Toegangsbeleid toevoegen.
    Toegangsbeleid
  3. Onder Sleutelrechten, inschakelen VerifySign, Get en List.
    Sleutelrechten
  4. Onder Geheime machtigingen, inschakelen Get en List.
    Geheime machtigingen
  5. Onder Certificaatrechten, inschakelen Get en List.
    Certificaatrechten
  6. Klik op de Geen geselecteerd link, onder Selecteer de opdrachtgeveren gebruik vervolgens het zoekveld om de applicatie te zoeken en te selecteren die u in de vorige sectie hebt gemaakt.
    Selecteer de opdrachtgever
  7. Klik op de kies knop.
    Selecteer knop
  8. Klik op de Toevoegen knop.
    knop toe te voegen
  9. Klik Bespaar.
    Bespaar
  10. Uw toegangsbeleid is ingesteld.
    Toegangsbeleid

Configureer DevOps Build

Nu kunt u uw build configureren. Open uw project in Azure DevOps.

Azure DevOps-project

Sla toepassingsreferenties op als variabelen

U kunt uw toepassings-ID en clientgeheim rechtstreeks in uw YAML-pijplijnbestand opnemen, maar het is veiliger als u ze opslaat als variabelen in DevOps.

  1. Klik Pijpleidingen.
    Pijpleidingen
  2. Klik Bibliotheek.
    Bibliotheek
  3. Klik + Variabele groep.
    Variabele groep toevoegen
  4. Geef uw variabelegroep een naam.
    naam toevoegen
  5. Klik Toevoegen.
    Toevoegen
  6. Voer een variabelenaam in voor uw toepassings-ID en plak de waarde in. Klik op het slotje om de variabele te versleutelen als je klaar bent.
    Applicatie-ID variabele
  7. Herhaal het proces om een ​​variabele toe te voegen voor uw cliëntgeheim.
    Cliënt geheime variabele
  8. Klik Bespaar.
    Bespaar
  9. Koppel de variabelegroep in uw pijplijn. (vervang VARIABLE-GROUP door de naam van uw feitelijke variabelegroep.)
    variabelen: - group: 'VARIABLE-GROUP'

Voeg pijplijnstap toe om Azure Sign Tool te installeren

Azure Sign-hulpprogramma is een open-sourceprogramma dat TekenTool functionaliteit voor certificaten en sleutels die zijn opgeslagen in Azure Key Vault. Voeg de volgende stap toe aan uw pijplijn om Azure Sign Tool te installeren:

- task: DotNetCoreCLI @ 2 inputs: command: 'custom' custom: 'tool' arguments: 'install --global azuresigntool' displayName: Installeer AzureSignTool

Voeg de opdracht Azure Sign Tool toe aan Pipeline

  1. Nu kunt u een taak toevoegen om uw code aan de pijplijn te ondertekenen. U heeft de volgende gegevens nodig:
    • Your Key Vault-URI (beschikbaar in de Azure Portal):
      Key Vault-URI
    • De beschrijvende naam van uw certificaat in Key Vault:
      Certificaatnaam
    • Your Applicatie ID en Cliëntgeheim variabelenamen:
      variabelenamen
  2. Voeg de Azure Sign Tool-aanroep toe aan uw pijplijn. Vervang de waarden die in HOOFDLETTERS worden weergegeven door uw werkelijke waarden:
    - taak: CmdLine @ 2 inputs: script: AzureSignTool sign -kvu "KEY-VAULT-URI" -kvi "$ (APPLICATION-ID-VAR)" -kvs "$ (CLIENT-SECRET-VAR)" -kvc CERTIFICATE-NAME -tr "http://ts.ssl.com" -td sha256 "FILE-TO-SIGN" displayName: tekencode
  3. Je zou de output als volgt moeten zien als het ondertekenen succesvol is:
    info: AzureSignTool.Program [0] => Bestand: D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe Tekenbestand D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe info: AzureSignTool. Programma [0] => Bestand: D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe De ondertekening is succesvol voltooid voor bestand D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe.

SSL.com's EV Code ondertekening certificaten helpen uw code te beschermen tegen ongeautoriseerde manipulatie en compromittering met het hoogste validatieniveau, en zijn beschikbaar voor slechts $ 249 per jaar. Je kan ook gebruik uw EV Code Signing-certificaat op schaal in de cloud met eSigner. Met zijn geautomatiseerde optie is eSigner geschikt voor het ondertekenen van bedrijfscodes.

BESTEL NU

Blijf geïnformeerd en veilig

SSL.com is een wereldleider op het gebied van cyberbeveiliging, PKI en digitale certificaten. Meld u aan om het laatste branchenieuws, tips en productaankondigingen te ontvangen van SSL.com.

We willen graag uw feedback

Vul onze enquête in en laat ons uw mening over uw recente aankoop weten.