SSL.com

Kodsignering med Azure DevOps

SSL.com supportteam

Denna handledning ger en introduktion till kodsignering med Azure DevOps med hjälp av ett certifikat lagrat i Azure Key Vault. För att följa dessa instruktioner behöver du:

SSL.coms eSigner molnkodsigneringstjänst möjliggör nu enkel integration med populära CI/CD-verktyg, inklusive Azure DevOps, för automatisk kodsignering. eSigner låter dig enkelt lägga till globalt pålitliga digitala signaturer och tidsstämplar till din kod var som helst, utan behov av USB-tokens, HSM:er eller annan speciell hårdvara.

Gå över till den här artikeln för en guide om hur du integrerar eSigner med Azure DevOps: Integrationsguide för Azure DevOps Cloud Signing.

Registrera en Azure-applikation

Först måste du registrera en ny Azure-applikation så att du kan ansluta till ditt Key Vault för signering.

  1. Logga in på Azur portalen.
    Logga in i Azure
  2. Navigera till Azure Active Directory. (Klick Fler tjänster om Azure Active Directory-ikonen inte är synlig.)
  3. Klicka App-registreringar, i den vänstra kolumnen.
  4. Klicka Ny registrering.
  5. Ge din ansökan en Namn och klicka på Registrera knapp. Lämna de andra inställningarna vid standardvärdena.
  6. Din nya ansökan har registrerats. Kopiera och spara det värde som visas för Program (klient) ID, för du kommer att behöva det senare.
Gå till toppen

Skapa en kundhemlighet

Skapa sedan en klienthemlighet som fungerar som referens när du signerar.

  1. Klicka Certifikat & hemligheter i vänstra menyn.
  2. Klicka Ny kundhemlighet.
  3. Ge din klienthemlighet en Beskrivning, ställ in giltighetstid efter önskemål och klicka på Lägg till knapp.
  4. kopiera Värde av din nya klienthemlighet blir omedelbart och spara den på en säker plats. Nästa gång sidan uppdateras kommer detta värde att maskeras och vara oåterkallelig.

Gå till toppen

Aktivera åtkomst i Key Vault

Nu måste du aktivera åtkomst för din applikation i Azure Key Vault.

  1. Navigera till Key Vault som innehåller certifikatet du vill använda för signering och klicka på Åtkomstpolicyer länken.
  2. Klicka Lägg till åtkomstpolicy.
  3. Enligt Viktiga behörigheter, Gör det möjligt VerifySign, Getoch List.
  4. Enligt Hemliga behörigheter, Gör det möjligt Get och List.
  5. Enligt Certifikatbehörigheter, Gör det möjligt Get och List.
  6. Klicka på Ingen vald länk, under Välj huvud, använd sedan sökfältet för att hitta och välja det program du skapade i föregående avsnitt.
  7. Klicka på Välja knapp.
  8. Klicka på Lägg till knapp.
  9. Klicka Save.
  10. Din åtkomstpolicy är inställd.
Gå till toppen

Konfigurera DevOps Build

Nu kan du konfigurera din build. Öppna ditt projekt i Azure DevOps.

Lagra användaruppgifter som variabler

Du kan inkludera ditt applikations-ID och klienthemlighet direkt i din YAML-pipeline-fil, men det är säkrare om du lagrar dem som variabler i DevOps.

  1. Klicka Rörledningar.
  2. Klicka Bibliotek.
  3. Klicka + Variabel grupp.
  4. Ge din variabla grupp ett namn.
  5. Klicka Lägg till.
  6. Ange ett variabelnamn för ditt applikations-ID och klistra in värdet. Klicka på låset för att kryptera variabeln när du är klar.
  7. Upprepa processen för att lägga till en variabel för din klienthemlighet.
  8. Klicka Save.
  9. Länka variabelgruppen i din pipeline. (ersätt VARIABLE-GROUP med namnet på din faktiska variabelgrupp.) 
    variabler: - grupp: 'VARIABLE-GROUP'
Gå till toppen

Lägg till rörledningssteg för att installera Azure Sign Tool

Azure Sign Tool är ett open source-verktyg som erbjuder Signtool funktionalitet för certifikat och nycklar lagrade i Azure Key Vault. Lägg till följande steg i din pipeline för att installera Azure Sign Tool:

- uppgift: DotNetCoreCLI @ 2 ingångar: kommando: 'anpassad' anpassad: 'verktyg' argument: 'install --global azuresigntool' displayName: Install AzureSignTool
Gå till toppen

Lägg till Azure Sign Tool Command till Pipeline

  1. Nu kan du lägga till en uppgift för att signera din kod i rörledningen. Du behöver följande information:
    • Din Key Vault URI (tillgänglig i Azure Portal):
    • Det vänliga namnet på ditt certifikat i Key Vault:
    • Din ansöknings-ID och Klienthemlighet variabla namn:
  2. Lägg till Azure Sign Tool-anropet till din pipeline. Ersätt värdena som visas i ALL-CAPS med dina faktiska värden: 
    - uppgift: CmdLine @ 2 ingångar: skript: AzureSignTool sign -kvu "KEY-VAULT-URI" -kvi "$ (APPLICATION-ID-VAR)" -kvs "$ (CLIENT-SECRET-VAR)" -kvc CERTIFICATE-NAME -tr "http://ts.ssl.com" -td sha256 "FILE-TO-SIGN" displayName: Sign Code
  3. Du bör se utdata så här om signeringen lyckas: 
    info: AzureSignTool.Program [0] => Fil: D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe Underteckningsfil D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe information: AzureSignTool. Program [0] => Fil: D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe Underteckningen slutfördes för fil D: \ a \ 1 \ s \ x64 \ Debug \ HelloWorld.exe.

SSL.com s EV Kodsignering certifikat hjälper till att skydda din kod från obehörig manipulering och kompromissa med den högsta nivån av validering, och är tillgängliga för så lite som $ 249 per år. Du kan också använd ditt EV Code Signing-certifikat i stor skala i molnet med eSigner. Med sitt automatiserade alternativ är eSigner lämplig för företagskodsignering.

BESTÄLL NU

Avsluta mobilversionen