Podepsání zásad CI pomocí důvěryhodného podepisování

Tento článek ukazuje, jak podepsat nové zásady integrity kódu (CI) pomocí důvěryhodné podpisové služby.

Požadavky

K dokončení kroků v tomto článku potřebujete:

• Důvěryhodný podpisový účet, ověření identity a profil certifikátu.
• Přiřazení jednotlivých nebo skupin role podepisujícího profilu důvěryhodného podpisového certifikátu
• Nainstalovaný Azure PowerShell ve Windows
• Stáhnul se modul Az.CodeSigning .

Podepsání zásad CI

1. Otevřete PowerShell 7.

2. Volitelně můžete vytvořit soubor metadata.json , který bude vypadat jako v tomto příkladu:("Endpoint" Hodnota identifikátoru URI musí být identifikátor URI, který odpovídá oblasti, ve které jste vytvořili profil důvěryhodného podpisového účtu a certifikátu při nastavování těchto prostředků.)

   {
   "Endpoint":"https://xxx.codesigning.azure.net/",
   "CodeSigningAccountName":"<Trusted Signing Account Name>",
   "CertificateProfileName":"<Certificate Profile Name>"
   }
   

3. Získejte kořenový certifikát, který chcete přidat do úložiště důvěryhodnosti:

   Get-AzCodeSigningRootCert -AccountName TestAccount -ProfileName TestCertProfile -EndpointUrl https://xxx.codesigning.azure.net/ -Destination c:\temp\root.cer
   

   Pokud používáte soubor metadata.json , spusťte tento příkaz:

   Get-AzCodeSigningRootCert -MetadataFilePath C:\temp\metadata.json https://xxx.codesigning.azure.net/ -Destination c:\temp\root.cer 
   

4. Pokud chcete získat rozšířené použití klíče (EKU), které chcete vložit do zásad:

   Get-AzCodeSigningCustomerEku -AccountName TestAccount -ProfileName TestCertProfile -EndpointUrl https://xxx.codesigning.azure.net/ 
   

   Pokud používáte soubor metadata.json , spusťte tento příkaz:

   Get-AzCodeSigningCustomerEku -MetadataFilePath C:\temp\metadata.json 
   

5. Pokud chcete zásadu invoke podepsat, spusťte příkaz:

   Invoke-AzCodeSigningCIPolicySigning -accountName TestAccount -profileName TestCertProfile -endpointurl "https://xxx.codesigning.azure.net/" -Path C:\Temp\defaultpolicy.bin -Destination C:\Temp\defaultpolicy_signed.bin -TimeStamperUrl: http://timestamp.acs.microsoft.com 
   

   Pokud používáte soubor metadata.json , spusťte tento příkaz:

   Invoke-AzCodeSigningCIPolicySigning -MetadataFilePath C:\temp\metadata.json -Path C:\Temp\defaultpolicy.bin -Destination C:\Temp\defaultpolicy_signed.bin -TimeStamperUrl: http://timestamp.acs.microsoft.com 
   

Vytvoření a nasazení zásad CI

Postup vytvoření a nasazení zásad CI najdete v těchto článcích:

• Použití podepsaných zásad k ochraně řízení aplikací v programu Windows Defender před manipulací
• Průvodce návrhem řízení aplikací v programu Windows Defender