Kodsignering med Azure DevOps

Självstudier om kodsignering i Azure DevOps med ett certifikat lagrat i Azure Key Vault.

Denna handledning ger en introduktion till kodsignering med Azure DevOps med hjälp av ett certifikat lagrat i Azure Key Vault. För att följa dessa instruktioner behöver du:

SSL.coms eSigner molnkodsigneringstjänst möjliggör nu enkel integration med populära CI/CD-verktyg, inklusive Azure DevOps, för automatisk kodsignering. eSigner låter dig enkelt lägga till globalt pålitliga digitala signaturer och tidsstämplar till din kod var som helst, utan behov av USB-tokens, HSM:er eller annan speciell hårdvara.

Gå över till den här artikeln för en guide om hur du integrerar eSigner med Azure DevOps: Integrationsguide för Azure DevOps Cloud Signing.

Registrera en Azure-applikation

Först måste du registrera en ny Azure-applikation så att du kan ansluta till ditt Key Vault för signering.

  1. Logga in på Azur portalen.
    Logga in i Azure
  2. Navigera till Azure Active Directory. (Klick Fler tjänster om Azure Active Directory-ikonen inte är synlig.)
    Azure Active Directory
  3. Klicka App-registreringar, i den vänstra kolumnen.
    App-registreringar
  4. Klicka Ny registrering.
    Ny registrering
  5. Ge din ansökan en Namn och klicka på Registrera knapp. Lämna de andra inställningarna vid standardvärdena.
    Registrera en ansökan
  6. Din nya ansökan har registrerats. Kopiera och spara det värde som visas för Program (klient) ID, för du kommer att behöva det senare.
    Program (klient) ID

Skapa en kundhemlighet

Skapa sedan en klienthemlighet som fungerar som referens när du signerar.

  1. Klicka Certifikat & hemligheter i vänstra menyn.
    Certifikat och hemligheter
  2. Klicka Ny kundhemlighet.
    Ny kundhemlighet
  3. Ge din klienthemlighet en Beskrivning, ställ in giltighetstid efter önskemål och klicka på Lägg till knapp.
    Lägg till klienthemlighet
  4. kopiera Värde av din nya klienthemlighet blir omedelbart och spara den på en säker plats. Nästa gång sidan uppdateras kommer detta värde att maskeras och vara oåterkallelig.
    kopiera hemligt värde

Aktivera åtkomst i Key Vault

Nu måste du aktivera åtkomst för din applikation i Azure Key Vault.

  1. Navigera till Key Vault som innehåller certifikatet du vill använda för signering och klicka på Åtkomstpolicyer länken.
    Åtkomstpolicyer
  2. Klicka Lägg till åtkomstpolicy.
    Åtkomstpolicyer
  3. Enligt Viktiga behörigheter, Gör det möjligt VerifySign, Getoch List.
    Viktiga behörigheter
  4. Enligt Hemliga behörigheter, Gör det möjligt Get och List.
    Hemliga behörigheter
  5. Enligt Certifikatbehörigheter, Gör det möjligt Get och List.
    Certifikatbehörigheter
  6. Klicka på Ingen vald länk, under Välj huvud, använd sedan sökfältet för att hitta och välja det program du skapade i föregående avsnitt.
    Välj huvud
  7. Klicka på Välja knapp.
    Välj knapp
  8. Klicka på Lägg till knapp.
    Lägg knapp
  9. Klicka Save.
    Save
  10. Din åtkomstpolicy är inställd.
    Åtkomstpolicy

Konfigurera DevOps Build

Nu kan du konfigurera din build. Öppna ditt projekt i Azure DevOps.

Azure DevOps-projekt

Lagra användaruppgifter som variabler

Du kan inkludera ditt applikations-ID och klienthemlighet direkt i din YAML-pipeline-fil, men det är säkrare om du lagrar dem som variabler i DevOps.

  1. Klicka Rörledningar.
    Rörledningar
  2. Klicka Bibliotek.
    Bibliotek
  3. Klicka + Variabel grupp.
    Lägg till variabelgrupp
  4. Ge din variabla grupp ett namn.
    lägg till namn
  5. Klicka Lägg till.
    Lägg till
  6. Ange ett variabelnamn för ditt applikations-ID och klistra in värdet. Klicka på låset för att kryptera variabeln när du är klar.
    Program-ID-variabel
  7. Upprepa processen för att lägga till en variabel för din klienthemlighet.
    Klienthemlig variabel
  8. Klicka Save.
    Save
  9. Länka variabelgruppen i din pipeline. (ersätt VARIABLE-GROUP med namnet på din faktiska variabelgrupp.)
    variabler: - grupp: 'VARIABLE-GROUP'

Lägg till rörledningssteg för att installera Azure Sign Tool

Azure Sign Tool är ett open source-verktyg som erbjuder Signtool funktionalitet för certifikat och nycklar lagrade i Azure Key Vault. Lägg till följande steg i din pipeline för att installera Azure Sign Tool:

- uppgift: DotNetCoreCLI @ 2 ingångar: kommando: 'anpassad' anpassad: 'verktyg' argument: 'install --global azuresigntool' displayName: Install AzureSignTool

Lägg till Azure Sign Tool Command till Pipeline

  1. Nu kan du lägga till en uppgift för att signera din kod i rörledningen. Du behöver följande information:
    • Din Key Vault URI (tillgänglig i Azure Portal):
      Key Vault URI
    • Det vänliga namnet på ditt certifikat i Key Vault:
      Certifikatnamn
    • Din ansöknings-ID och Klienthemlighet variabla namn:
      variabla namn
  2. Lägg till Azure Sign Tool-anropet till din pipeline. Ersätt värdena som visas i ALL-CAPS med dina faktiska värden:
    - uppgift: CmdLine @ 2 ingångar: skript: AzureSignTool sign -kvu "KEY-VAULT-URI" -kvi "$ (APPLICATION-ID-VAR)" -kvs "$ (CLIENT-SECRET-VAR)" -kvc CERTIFICATE-NAME -tr "http://ts.ssl.com" -td sha256 "FILE-TO-SIGN" displayName: Sign Code
  3. Du bör se utdata så här om signeringen lyckas:
    info: AzureSignTool.Program [0] => Fil: D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe Underteckningsfil D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe information: AzureSignTool. Program [0] => Fil: D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe Underteckningen slutfördes för fil D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe.

SSL.com s EV Kodsignering certifikat hjälper till att skydda din kod från obehörig manipulering och kompromissa med den högsta nivån av validering, och är tillgängliga för så lite som $ 249 per år. Du kan också använd ditt EV Code Signing-certifikat i stor skala i molnet med eSigner. Med sitt automatiserade alternativ är eSigner lämplig för företagskodsignering.

BESTÄLL NU

Håll dig informerad och säker

SSL.com är en global ledare inom cybersäkerhet, PKI och digitala certifikat. Registrera dig för att få de senaste branschnyheterna, tipsen och produktmeddelanden från SSL.com.

Vi vill gärna ha din feedback

Följ vår undersökning och låt oss veta vad du tycker om ditt senaste köp.