Podpisywanie kodu za pomocą usługi Azure DevOps

Samouczek dotyczący podpisywania kodu w usłudze Azure DevOps przy użyciu certyfikatu przechowywanego w Azure Key Vault.

Ten samouczek zawiera wprowadzenie do podpisywania kodu za pomocą usługi Azure DevOps przy użyciu certyfikatu przechowywanego w Azure Key Vault. Aby wykonać te instrukcje, będziesz potrzebować:

Usługa podpisywania kodu w chmurze SSL.com eSigner umożliwia teraz łatwą integrację z popularnymi narzędziami CI/CD, w tym Azure DevOps, do automatycznego podpisywania kodu. ePodpisujący umożliwia wygodne dodawanie globalnie zaufanych podpisów cyfrowych i znaczników czasu do kodu z dowolnego miejsca, bez potrzeby stosowania tokenów USB, HSM lub innego specjalnego sprzętu.

Przejdź do tego artykułu, aby zapoznać się z przewodnikiem dotyczącym integracji eSigner z usługą Azure DevOps: Przewodnik integracji podpisywania w chmurze Azure DevOps.

Zarejestruj aplikację platformy Azure

Najpierw musisz zarejestrować nową aplikację platformy Azure, aby można było połączyć się z Key Vault w celu podpisania.

  1. Zaloguj się do Portal Azure.
    Zaloguj się do platformy Azure
  2. Nawigować do Azure Active Directory. (Kliknij Więcej usług jeśli ikona Azure Active Directory nie jest widoczna).
    Azure Active Directory
  3. Kliknij Rejestracje aplikacji, w lewej kolumnie.
    Rejestracje aplikacji
  4. Kliknij Nowa rejestracja.
    Nowa rejestracja
  5. Nadaj swojej aplikacji Nazwa i kliknij Zarejestruj się przycisk. W pozostałych ustawieniach pozostaw wartości domyślne.
    Zarejestruj aplikację
  6. Twoja nowa aplikacja została zarejestrowana. Skopiuj i zapisz wyświetloną wartość Identyfikator aplikacji (klienta), ponieważ będziesz go potrzebować później.
    Identyfikator aplikacji (klienta)

Utwórz klucz klienta

Następnie wygeneruj klucz klienta, który będzie służył jako poświadczenie podczas podpisywania.

  1. Kliknij Certyfikaty i tajemnice w menu po lewej stronie.
    Certyfikaty i tajemnice
  2. Kliknij Nowy sekret klienta.
    Nowy sekret klienta
  3. Podaj tajemnicę swojego klienta Opis Projektu, ustaw czas wygaśnięcia zgodnie z potrzebami i kliknij Dodaj przycisk.
    Dodaj klucz klienta
  4. Skopiuj wartość Twojego nowego klucza klienta natychmiast i zapisz go w bezpiecznym miejscu. Następnym razem, gdy strona zostanie odświeżona, ta wartość zostanie zamaskowana i nieodwracalna.
    skopiuj tajną wartość

Włącz dostęp w Key Vault

Teraz musisz włączyć dostęp do swojej aplikacji w Azure Key Vault.

  1. Przejdź do Key Vault zawierającego certyfikat, którego chcesz użyć do podpisywania, i kliknij Zasady dostępu łącze.
    Zasady dostępu
  2. Kliknij Dodaj zasady dostępu.
    Zasady dostępu
  3. Pod Kluczowe uprawnienia, włączyć VerifySign, Get, List.
    Kluczowe uprawnienia
  4. Pod Tajne uprawnienia, włączyć Get i List.
    Tajne uprawnienia
  5. Pod Uprawnienia do certyfikatu, włączyć Get i List.
    Uprawnienia do certyfikatu
  6. Kliknij Nie wybrano link pod Wybierz głównego zobowiązanego, a następnie użyj pola wyszukiwania, aby zlokalizować i wybrać aplikację utworzoną w poprzedniej sekcji.
    Wybierz głównego zobowiązanego
  7. Kliknij Wybierz przycisk.
    Wybierz przycisk
  8. Kliknij Dodaj przycisk.
    Dodaj przycisk
  9. Kliknij Zapisz.
    Zapisz
  10. Twoja polityka dostępu jest ustawiona.
    Polityka dostępu

Skonfiguruj kompilację DevOps

Teraz możesz skonfigurować swój build. Otwórz swój projekt w usłudze Azure DevOps.

Projekt Azure DevOps

Przechowuj poświadczenia aplikacji jako zmienne

Możesz dołączyć identyfikator aplikacji i klucz tajny klienta bezpośrednio w pliku potoku YAML, ale jest to bezpieczniejsze, jeśli przechowujesz je jako zmienne w DevOps.

  1. Kliknij Rurociągi.
    Rurociągi
  2. Kliknij Biblioteka.
    Biblioteka
  3. Kliknij + Grupa zmiennych.
    Dodaj grupę zmiennych
  4. Nadaj swojej grupie zmiennych nazwę.
    dodaj nazwę
  5. Kliknij Dodaj.
    Dodaj
  6. Wprowadź nazwę zmiennej dla identyfikatora aplikacji, a następnie wklej wartość. Kliknij kłódkę, aby zaszyfrować zmienną po zakończeniu.
    Zmienna identyfikatora aplikacji
  7. Powtórz ten proces, aby dodać zmienną do klucza tajnego klienta.
    Zmienna tajna klienta
  8. Kliknij Zapisz.
    Zapisz
  9. Połącz grupę zmiennych w swoim potoku. (zastąp VARIABLE-GROUP nazwą Twojej aktualnej grupy zmiennych).
    zmienne: - grupa: 'VARIABLE-GROUP'

Dodaj krok potoku, aby zainstalować narzędzie Azure Sign Tool

Narzędzie Azure Sign Tool to narzędzie typu open source, które oferuje ZnakNarzędzie funkcjonalność dla certyfikatów i kluczy przechowywanych w Azure Key Vault. Dodaj następujący krok w potoku, aby zainstalować narzędzie Azure Sign Tool:

- task: DotNetCoreCLI @ 2 input: command: 'custom' custom: 'tool' arguments: 'install --global azuresigntool' displayName: Install AzureSignTool

Dodaj polecenie narzędzia Azure Sign Tool do potoku

  1. Teraz możesz dodać zadanie, aby podpisać kod w potoku. Będziesz potrzebować następujących informacji:
    • Twój Identyfikator URI usługi Key Vault (dostępne w witrynie Azure Portal):
      Identyfikator URI usługi Key Vault
    • Przyjazna nazwa certyfikatu w Key Vault:
      Nazwa certyfikatu
    • Twój ID aplikacji i Sekret klienta nazwy zmiennych:
      nazwy zmiennych
  2. Dodaj wywołanie narzędzia Azure Sign Tool do potoku. Zastąp wartości pokazane WIELKIMI LITERAMI rzeczywistymi wartościami:
    - task: CmdLine @ 2 dane wejściowe: skrypt: AzureSignTool znak -kvu "KEY-VAULT-URI" -kvi "$ (APPLICATION-ID-VAR)" -kvs "$ (CLIENT-SECRET-VAR)" -kvc CERTIFICATE-NAME -tr "http://ts.ssl.com" -td sha256 "FILE-TO-SIGN" displayName: Sign Code
  3. Jeśli podpisanie się powiedzie, powinieneś zobaczyć takie dane wyjściowe:
    info: AzureSignTool.Program [0] => Plik: D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe Plik podpisywania D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe info: AzureSignTool. Program [0] => Plik: D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe Podpisywanie zakończone pomyślnie dla pliku D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe.

SSL.com's EV Podpisywanie kodu Certyfikaty pomagają chronić Twój kod przed nieautoryzowanym manipulowaniem i naruszeniem bezpieczeństwa z najwyższym poziomem walidacji i są dostępne za jedyne $ 249 rocznie. Można również używaj swojego certyfikatu EV Code Signing na dużą skalę w chmurze za pomocą eSigner. Dzięki zautomatyzowanej opcji eSigner nadaje się do podpisywania kodu korporacyjnego.

ZAMÓW TERAZ

Bądź na bieżąco i bezpiecznie

SSL.com jest światowym liderem w dziedzinie cyberbezpieczeństwa, PKI i certyfikaty cyfrowe. Zarejestruj się, aby otrzymywać najnowsze wiadomości branżowe, wskazówki i ogłoszenia o produktach od SSL.com.

Będziemy wdzięczni za Twoją opinię

Weź udział w naszej ankiecie i daj nam znać, co myślisz o swoim ostatnim zakupie.