Azure Key Vault ile Kod İmzalama

Bu öğretici, Azure Key Vault'ta depolanan bir kod imzalama sertifikası ve özel anahtarla Windows komut satırından dosyaları nasıl imzalayacağınızı gösterecektir. Bu talimatları izlemek için ihtiyacınız olacak:

• An Azure hesabı
• A Anahtar Kasası
• A kod imzalama sertifikası Anahtar Kasanıza yüklenmiş. Aşağıdakilerden birini yapabilirsiniz:
  • Bir CSR ve Key Vault'a bir sertifika yükleyin or
  • Anahtar Kasasına bir sertifika aktarın
• Azure Sign Aracı imzalamak için kullanacağınız bilgisayarda yüklü

Azure Sign Tool nedir?

Azure Sign Aracı sunan açık kaynaklı bir yardımcı programdır Signtool Azure Key Vault'ta depolanan sertifikalar ve anahtarlar için işlevsellik. Azure Sign Tool'u Windows PowerShell'de aşağıdaki komutla yükleyebilirsiniz (gerektirir .NET SDK'sı):

dotnet tool install --global AzureSignTool

1. Adım: Yeni bir Azure Uygulaması Kaydedin

Öncelikle, yeni bir Azure uygulaması kaydettirmeniz gerekir, böylece imzalama için Key Vault'unuza bağlanabilirsiniz.

1. Oturum açın Azure portalı.
   
2. Şu yöne rotayı ayarla Azure Active Directory. (tıklayın Daha fazla hizmet Azure Active Directory simgesi görünmüyorsa.)
   
3. Tıkla Uygulama Kayıtları, sol sütunda.
   
4. Tıkla Yeni Kayıt.
   
5. Başvurunuza bir Name Ve tıklayın Kaydol buton. Diğer ayarları varsayılan değerlerinde bırakın.
   
6. Yeni başvurunuz kaydedildi. İçin gösterilen değeri kopyalayın ve kaydedin. Uygulama (müşteri) kimliği, çünkü daha sonra ihtiyacınız olacak.
   
7. Tıkla Doğrulama.
   
8. Altında Gelişmiş Ayarlar, ayarla Herkese açık istemci akışlarına izin ver için Yes.
   
9. Tıkla İndirim.
   

2. Adım: İstemci Sırrı Oluşturun

Ardından, imzalarken kimlik bilgisi görevi görecek bir istemci sırrı oluşturun.

1. Tıkla Sertifikalar ve sırlar soldaki menüde.
   
2. Tıkla Yeni müşteri sırrı.
   
3. Müşterinize bir sır verin Açıklama, son kullanma tarihini istediğiniz gibi ayarlayın ve Ekle düğmesine basın.
   
4. Kopya Özellik yeni müşterinizin sırrı hemen ve güvenli bir yerde saklayın. Sayfanın bir sonraki yenilenmesinde bu değer maskelenecek ve geri alınamaz.
   

3. Adım: Anahtar Kasasında Erişimi Etkinleştirin

Şimdi, Azure Key Vault'da uygulamanız için erişimi etkinleştirmeniz gerekecek.

1. İmzalama için kullanmak istediğiniz sertifikayı içeren Anahtar Kasasına gidin ve Erişim politikaları bağlantı.
   
2. Tıkla Erişim Politikası Ekle.
   
3. Altında Temel İzinler, etkinleştirme Sign.
   
4. Altında Sertifika izinleri, etkinleştirme Get.
   
5. Tıkla Hiçbiri seçilmedi bağlantı, altında Müdür seçin, ardından önceki bölümde oluşturduğunuz uygulamayı bulup seçmek için arama alanını kullanın.
   
6. Tıkla seç düğmesine basın.
   
7. Tıkla Ekle düğmesine basın.
   
8. Tıkla İndirim.
   
9. Erişim politikanız belirlendi ve dosyaları imzalamaya hazırsınız.
   

4. Adım: Bir Dosyayı İmzalayın

Artık nihayet bir kod imzalamaya hazırsınız!

1. Aşağıdaki bilgilere ihtiyacınız olacak:
   • Anahtar Kasası URI'si (Azure portalında mevcuttur):
     
   • The kolay ad Anahtar Kasası'ndaki sertifikanızın:
     
   • The Uygulama (müşteri) kimliği Azure uygulamanızdaki değer:
     
   • The gizli müşteri yukarıda oluşturdunuz:
     
2. Aşağıda, PowerShell'de bir dosyayı Azure Sign Tool ile imzalamak ve zaman damgası oluşturmak için örnek bir komut verilmiştir. TÜM BÜYÜK HARF’teki değerleri gerçek bilgilerinizle değiştirin:

   azuresigntool sign -kvu ANAHTAR-VAULT-URI -kvc SERTİFİKA-ADI -kvi UYGULAMA-İSTEMCİ-KİMLİĞİ -kvs İSTEMCİ-GİZLİ -tr http://ts.ssl.com/ -td sha256 YOL-UYGULANABİLİR

   Not: Varsayılan olarak SSL.com, ECDSA anahtarlarından alınan zaman damgalarını destekler.
   
   Bu hatayla karşılaşırsanız: The timestamp certificate does not meet a minimum public key length requirement, ECDSA anahtarlarından zaman damgalarına izin vermek için yazılım satıcınızla iletişime geçmelisiniz.
   
   Yazılım satıcınızın normal uç noktanın kullanılmasına izin vermesinin bir yolu yoksa, bu eski uç noktayı kullanabilirsiniz. http://ts.ssl.com/legacy RSA Zaman Damgası Birimi'nden bir zaman damgası almak için.
3. İmzalama başarılıysa, aşağıdaki gibi çıktı görmelisiniz (başarısız imzalama çıktı üretmez):

   info: AzureSignTool.Program [0] => Dosya: test.exe İmza dosyası test.exe bilgisi: AzureSignTool.Program [0] => Dosya: test.exe test.exe dosyası için imzalama başarıyla tamamlandı. bilgi PS C: \ Kullanıcılar \ Aaron Russell \ Masaüstü>

4. Yeni dijital imza ile ilgili ayrıntılar dosya özelliklerinde mevcut olacaktır: