Assinatura de código com Azure DevOps

Tutorial sobre assinatura de código no Azure DevOps com um certificado armazenado no Azure Key Vault.

Conteúdo Relacionado

Quer continuar aprendendo?

Assine a newsletter de SSL.com, mantenha-se informado e seguro.

Este tutorial fornece uma introdução à assinatura de código com o Azure DevOps, usando um certificado armazenado no Azure Key Vault. Para seguir essas instruções, você precisará de:

O serviço de assinatura de código em nuvem eSigner da SSL.com agora permite fácil integração com ferramentas populares de CI/CD, incluindo Azure DevOps, para assinatura de código automatizada. eSigner permite adicionar convenientemente assinaturas digitais e carimbos de data/hora confiáveis ​​globalmente ao seu código de qualquer lugar, sem a necessidade de tokens USB, HSMs ou outro hardware especial.

Acesse este artigo para obter um guia sobre como integrar o eSigner ao Azure DevOps: Guia de Integração do Azure DevOps Cloud Signing.

Registrar um aplicativo do Azure

Primeiro, você precisará registrar um novo aplicativo do Azure para que possa se conectar ao Key Vault para assinatura.

  1. Faça login no Portal do Azure.
    Entrar no Azure
  2. Acessar Azure Active Directory. (Clique Mais serviços se o ícone do Azure Active Directory não estiver visível.)
    Azure Active Directory
  3. Clique Registros de aplicativos, na coluna da esquerda.
    Registros de aplicativos
  4. Clique Novo registro.
    Novo registro
  5. Dê ao seu aplicativo um Nome E clique no Inscrições botão. Deixe as outras configurações com seus valores padrão.
    Registrar um aplicativo
  6. Seu novo aplicativo foi registrado. Copie e salve o valor mostrado para ID do aplicativo (cliente), porque você precisará dele mais tarde.
    ID do aplicativo (cliente)

Crie um segredo do cliente

Em seguida, gere um segredo de cliente, que servirá como uma credencial ao assinar.

  1. Clique Certificados e segredos no menu à esquerda.
    Certificados e segredos
  2. Clique Novo segredo do cliente.
    Novo segredo do cliente
  3. Dê um segredo ao seu cliente Descrição, defina a validade conforme desejado e clique no Adicionar botão.
    Adicionar segredo do cliente
  4. Copie o Valor do seu novo segredo de cliente imediatamente e guarde-o em um local seguro. Na próxima vez que a página for atualizada, este valor será mascarado e irrecuperável.
    copiar valor secreto

Permitir acesso no Key Vault

Agora, você precisará habilitar o acesso para seu aplicativo no Azure Key Vault.

  1. Navegue até o Key Vault que contém o certificado que deseja usar para assinar e clique no botão Políticas de acesso link.
    Políticas de Acesso
  2. Clique Adicionar política de acesso.
    Políticas de Acesso
  3. Debaixo Permissões-chave, habilitar VerifySign, Get e List.
    Permissões-chave
  4. Debaixo Permissões secretas, habilitar Get e List.
    Permissões secretas
  5. Debaixo Permissões de certificado, habilitar Get e List.
    Permissões de certificado
  6. Clique na Nenhum selecionado link, sob Selecione o principale, em seguida, use o campo de pesquisa para localizar e selecionar o aplicativo criado na seção anterior.
    Selecione o principal
  7. Clique na Selecionar botão.
    Botão Selecionar
  8. Clique na Adicionar botão.
    botão Adicionar
  9. Clique Economize.
    Economize
  10. Sua política de acesso está definida.
    Política de acesso

Configurar DevOps Build

Agora você pode configurar sua construção. Abra seu projeto no Azure DevOps.

Projeto Azure DevOps

Armazenar credenciais de aplicativos como variáveis

Você pode incluir o ID do aplicativo e a chave secreta do cliente diretamente no arquivo de pipeline YAML, mas é mais seguro se armazená-los como variáveis ​​no DevOps.

  1. Clique Pipelines.
    Pipelines
  2. Clique Biblioteca.
    Biblioteca
  3. Clique + Grupo de variáveis.
    Adicionar grupo de variáveis
  4. Dê um nome ao seu grupo de variáveis.
    adicionar nome
  5. Clique Adicionar.
    Adicionar
  6. Insira um nome de variável para o ID do seu aplicativo e cole o valor. Clique no cadeado para criptografar a variável quando terminar.
    Variável de ID de aplicativo
  7. Repita o processo para adicionar uma variável ao segredo do seu cliente.
    Variável secreta do cliente
  8. Clique Economize.
    Economize
  9. Vincule o grupo de variáveis ​​em seu pipeline. (substitua VARIABLE-GROUP pelo nome do seu grupo de variáveis ​​real.)
    variáveis: - grupo: 'VARIABLE-GROUP'

Adicionar etapa de pipeline para instalar a ferramenta de assinatura do Azure

Ferramenta de assinatura do Azure é um utilitário de código aberto que oferece Ferramenta de sinalização funcionalidade para certificados e chaves armazenados no Azure Key Vault. Adicione a seguinte etapa em seu pipeline para instalar a Azure Sign Tool:

- tarefa: DotNetCoreCLI @ 2 entradas: comando: 'custom' custom: 'ferramenta' argumentos: 'install --global azuresigntool' displayName: Instalar AzureSignTool

Adicionar comando da ferramenta de assinatura do Azure ao pipeline

  1. Agora você pode adicionar uma tarefa para assinar seu código no pipeline. Você precisará das seguintes informações:
    • investimentos URI do Key Vault (disponível no Portal do Azure):
      URI do Key Vault
    • O nome amigável do seu certificado no Key Vault:
      nome válido
    • investimentos ID do aplicativo e Segredo do cliente nomes de variáveis:
      nomes de variáveis
  2. Adicione a chamada da Ferramenta de Assinatura do Azure ao seu pipeline. Substitua os valores mostrados em MAIÚSCULAS pelos seus valores reais:
    - tarefa: CmdLine @ 2 entradas: script: AzureSignTool sign -kvu "KEY-VAULT-URI" -kvi "$ (APPLICATION-ID-VAR)" -kvs "$ (CLIENT-SECRET-VAR)" -kvc CERTIFICADO-NOME -tr "http://ts.ssl.com" -td sha256 "FILE-TO-SIGN" displayName: Código de assinatura
  3. Você deve ver uma saída como esta se a assinatura for bem-sucedida:
    info: AzureSignTool.Program [0] => Arquivo: D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe Arquivo de assinatura D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe info: AzureSignTool. Programa [0] => Arquivo: D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe Assinatura concluída com êxito para o arquivo D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe.

SSL.com's EV Assinatura de código certificados ajudam a proteger seu código contra adulteração e comprometimento não autorizados com o mais alto nível de validação e estão disponíveis por apenas $ 249 por ano. Você também pode use seu certificado de assinatura de código EV em escala na nuvem usando eSigner. Com sua opção automatizada, o eSigner é adequado para assinatura de código empresarial.

PEÇA AGORA

Mantenha-se informado e seguro

SSL.com é líder global em segurança cibernética, PKI e certificados digitais. Inscreva-se para receber as últimas notícias do setor, dicas e anúncios de produtos da SSL.com.

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.