Kodesignering med Azure DevOps

Denne opplæringen gir en introduksjon til kodesignering med Azure DevOps, ved hjelp av et sertifikat lagret i Azure Key Vault. For å følge disse instruksjonene trenger du:

• An Azure-konto
• A DevOps-prosjekt
• A Nøkkelhvelv
• A kodesigneringssertifikat installert i Key Vault. Du kan enten:
  • Generer en CSR og installer et sertifikat i Key Vault or
  • Importer et sertifikat til Key Vault

Registrer et Azure-program

Først må du registrere et nytt Azure-program slik at du kan koble til Key Vault for signering.

1. Logg deg på Azure portal.
   
2. naviger til Azure Active Directory. (Klikk Flere tjenester hvis Azure Active Directory-ikonet ikke er synlig.)
   
3. Klikk Appregistreringer, i venstre kolonne.
   
4. Klikk Ny registrering.
   
5. Gi søknaden din en Navn og klikk på Registrere knapp. La de andre innstillingene være på standardverdiene.
   
6. Den nye søknaden din er registrert. Kopier og lagre verdien som vises for Søknad (klient) IDfordi du trenger det senere.
   

Lag en klienthemmelighet

Deretter genererer du en klienthemmelighet som fungerer som legitimasjon når du signerer.

1. Klikk Sertifikater og hemmeligheter i venstre meny.
   
2. Klikk Ny klienthemmelighet.
   
3. Gi klientens hemmelighet en Beskrivelse , angi utløp som ønsket, og klikk på Legg til knapp.
   
4. Kopier Verdi av din nye klienthemmelighet umiddelbart og lagre den på et trygt sted. Neste gang siden oppdateres, blir denne verdien maskert og uopprettelig.
   
   

Aktiver tilgang i Key Vault

Nå må du aktivere tilgang for applikasjonen din i Azure Key Vault.

1. Naviger til Key Vault som inneholder sertifikatet du vil bruke til signering, og klikk på Tilgangspolicyer kobling.
   
2. Klikk Legg til tilgangspolicy.
   
3. Under Viktige tillatelser, Aktiver Verify,  Sign, Getog List.
   
4. Under Hemmelige tillatelser, Aktiver Get og List.
   
5. Under Sertifikattillatelser, Aktiver Get og List.
   
6. Klikk på Ingen valgt lenke, under Velg rektor, bruk deretter søkefeltet til å finne og velge applikasjonen du opprettet i forrige seksjon.
   
7. Klikk på Plukke ut knapp.
   
8. Klikk på Legg til knapp.
   
9. Klikk Spar.
   
10. Tilgangspolicyen din er satt.
    

Konfigurer DevOps Build

Nå kan du konfigurere byggingen din. Åpne prosjektet ditt i Azure DevOps.

Lagre påloggingsinformasjon som variabler

Du kan inkludere applikasjons-ID og klienthemmelighet direkte i YAML-rørledningsfilen din, men det er sikrere hvis du lagrer dem som variabler i DevOps.

1. Klikk Rørledninger.
   
2. Klikk Bibliotek.
   
3. Klikk + Variabel gruppe.
   
4. Gi variabelgruppen et navn.
   
5. Klikk Legg til.
   
6. Skriv inn et variabelnavn for applikasjons-ID-en din, og lim deretter inn verdien. Klikk på låsen for å kryptere variabelen når du er ferdig.
   
7. Gjenta prosessen for å legge til en variabel for klienthemmeligheten din.
   
8. Klikk Spar.
   
9. Koble variabelgruppen i rørledningen din. (erstatt VARIABLE-GROUP med navnet på den faktiske variablegruppen.)

   variabler: - gruppe: 'VARIABLE-GROUP'

Legg til rørledningstrinn for å installere Azure Sign Tool

Azure Sign Tool er et open source-verktøy som tilbyr SignTool funksjonalitet for sertifikater og nøkler lagret i Azure Key Vault. Legg til følgende trinn i rørledningen for å installere Azure Sign Tool:

- oppgave: DotNetCoreCLI @ 2 innganger: kommando: 'tilpasset' tilpasset: 'verktøy' argumenter: 'install --global azuresigntool' displayName: Installer AzureSignTool

Legg til Azure Sign Tool Command til rørledningen

1. Nå kan du legge til en oppgave for å signere koden din til rørledningen. Du trenger følgende informasjon:
   • Din Key Vault URI (tilgjengelig i Azure Portal):
     
   • Det vennlige navnet på sertifikatet ditt i Key Vault:
     
   • Din Søknads-ID og Klienthemmelighet variable navn:
     
2. Legg til Azure Sign Tool-anropet til rørledningen din. Erstatt verdiene som vises i ALL-CAPS med dine faktiske verdier:

   - oppgave: CmdLine @ 2 innganger: skript: AzureSignTool sign -kvu "KEY-VAULT-URI" -kvi "$ (APPLICATION-ID-VAR)" -kvs "$ (CLIENT-SECRET-VAR)" -kvc CERTIFICATE-NAME -tr "http://ts.ssl.com" -td sha256 "FILE-TO-SIGN" displayName: Sign Code

3. Du bør se utdata som dette hvis signeringen er vellykket:

   info: AzureSignTool.Program [0] => Fil: D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe Signeringsfil D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe info: AzureSignTool. Program [0] => Fil: D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe Signering fullført for fil D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe.