Kodsignering med Azure DevOps

Denna handledning ger en introduktion till kodsignering med Azure DevOps med hjälp av ett certifikat lagrat i Azure Key Vault. För att följa dessa instruktioner behöver du:

• An Azure-konto
• A DevOps-projekt
• A Nyckelvalv
• A kodsigneringscertifikat installerat i ditt Key Vault. Du kan antingen:
  • Generera en CSR och installera ett certifikat i Key Vault or
  • Importera ett certifikat till Key Vault

Registrera en Azure-applikation

Först måste du registrera en ny Azure-applikation så att du kan ansluta till ditt Key Vault för signering.

1. Logga in på Azur portalen.
   
2. Navigera till Azure Active Directory. (Klick Fler tjänster om Azure Active Directory-ikonen inte är synlig.)
   
3. Klicka App-registreringar, i den vänstra kolumnen.
   
4. Klicka Ny registrering.
   
5. Ge din ansökan en Namn och klicka på Registrera knapp. Lämna de andra inställningarna vid standardvärdena.
   
6. Din nya ansökan har registrerats. Kopiera och spara det värde som visas för Program (klient) ID, för du kommer att behöva det senare.
   

Skapa en kundhemlighet

Skapa sedan en klienthemlighet som fungerar som referens när du signerar.

1. Klicka Certifikat & hemligheter i vänstra menyn.
   
2. Klicka Ny kundhemlighet.
   
3. Ge din klienthemlighet en Beskrivning, ställ in giltighetstid efter önskemål och klicka på Lägg till knapp.
   
4. kopiera Värde av din nya klienthemlighet blir omedelbart och spara den på en säker plats. Nästa gång sidan uppdateras kommer detta värde att maskeras och vara oåterkallelig.
   
   

Aktivera åtkomst i Key Vault

Nu måste du aktivera åtkomst för din applikation i Azure Key Vault.

1. Navigera till Key Vault som innehåller certifikatet du vill använda för signering och klicka på Åtkomstpolicyer länken.
   
2. Klicka Lägg till åtkomstpolicy.
   
3. Enligt Viktiga behörigheter, Gör det möjligt Verify,  Sign, Getoch List.
   
4. Enligt Hemliga behörigheter, Gör det möjligt Get och List.
   
5. Enligt Certifikatbehörigheter, Gör det möjligt Get och List.
   
6. Klicka på Ingen vald länk, under Välj huvud, använd sedan sökfältet för att hitta och välja det program du skapade i föregående avsnitt.
   
7. Klicka på Välja knapp.
   
8. Klicka på Lägg till knapp.
   
9. Klicka Save.
   
10. Din åtkomstpolicy är inställd.
    

Konfigurera DevOps Build

Nu kan du konfigurera din build. Öppna ditt projekt i Azure DevOps.

Lagra användaruppgifter som variabler

Du kan inkludera ditt applikations-ID och klienthemlighet direkt i din YAML-pipeline-fil, men det är säkrare om du lagrar dem som variabler i DevOps.

1. Klicka Rörledningar.
   
2. Klicka Bibliotek.
   
3. Klicka + Variabel grupp.
   
4. Ge din variabla grupp ett namn.
   
5. Klicka Lägg till.
   
6. Ange ett variabelnamn för ditt applikations-ID och klistra in värdet. Klicka på låset för att kryptera variabeln när du är klar.
   
7. Upprepa processen för att lägga till en variabel för din klienthemlighet.
   
8. Klicka Save.
   
9. Länka variabelgruppen i din pipeline. (ersätt VARIABLE-GROUP med namnet på din faktiska variabelgrupp.)

   variabler: - grupp: 'VARIABLE-GROUP'

Lägg till rörledningssteg för att installera Azure Sign Tool

Azure Sign Tool är ett open source-verktyg som erbjuder Signtool funktionalitet för certifikat och nycklar lagrade i Azure Key Vault. Lägg till följande steg i din pipeline för att installera Azure Sign Tool:

- uppgift: DotNetCoreCLI @ 2 ingångar: kommando: 'anpassad' anpassad: 'verktyg' argument: 'install --global azuresigntool' displayName: Install AzureSignTool

Lägg till Azure Sign Tool Command till Pipeline

1. Nu kan du lägga till en uppgift för att signera din kod i rörledningen. Du behöver följande information:
   • Din Key Vault URI (tillgänglig i Azure Portal):
     
   • Det vänliga namnet på ditt certifikat i Key Vault:
     
   • Din ansöknings-ID och Klienthemlighet variabla namn:
     
2. Lägg till Azure Sign Tool-anropet till din pipeline. Ersätt värdena som visas i ALL-CAPS med dina faktiska värden:

   - uppgift: CmdLine @ 2 ingångar: skript: AzureSignTool sign -kvu "KEY-VAULT-URI" -kvi "$ (APPLICATION-ID-VAR)" -kvs "$ (CLIENT-SECRET-VAR)" -kvc CERTIFICATE-NAME -tr "http://ts.ssl.com" -td sha256 "FILE-TO-SIGN" displayName: Sign Code

3. Du bör se utdata så här om signeringen lyckas:

   info: AzureSignTool.Program [0] => Fil: D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe Underteckningsfil D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe information: AzureSignTool. Program [0] => Fil: D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe Underteckningen slutfördes för fil D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe.