Sdílet prostřednictvím


Rychlý start: Nastavení důvěryhodného podepisování

Důvěryhodné podepisování je plně spravovaná komplexní služba podepisování certifikátů od Microsoftu. V tomto rychlém startu vytvoříte následující tři důvěryhodné podpisové prostředky, které začnou používat důvěryhodné podepisování:

  • Důvěryhodný podpisový účet
  • Ověření identity
  • Profil certifikátu

K vytvoření a správě většiny důvěryhodných podpisových prostředků můžete použít azure Portal nebo rozšíření Azure CLI. (Ověření identity můžete dokončit jenom na webu Azure Portal. Ověření identity nejde dokončit pomocí Azure CLI.) V tomto rychlém startu se dozvíte, jak na to.

Požadavky

K dokončení tohoto rychlého startu je potřeba:

Registrace zprostředkovatele důvěryhodných podpisových prostředků

Před použitím důvěryhodného podepisování musíte zaregistrovat zprostředkovatele prostředků důvěryhodného podepisování.

Poskytovatel prostředků je služba, která poskytuje prostředky Azure. Pomocí webu Azure Portal nebo Azure CLI zaregistrujte Microsoft.CodeSigning zprostředkovatele důvěryhodných podpisových prostředků.

Registrace důvěryhodného zprostředkovatele prostředků podepisování pomocí webu Azure Portal:

  1. Přihlaste se k portálu Azure.

  2. Ve vyhledávacím poli nebo v části Všechny služby vyberte Předplatná.

  3. Vyberte předplatné, ve kterém chcete vytvořit prostředky důvěryhodného podepisování.

  4. V nabídce prostředků v části Nastavení vyberte Poskytovatele prostředků.

  5. V seznamu poskytovatelů prostředků vyberte Microsoft.CodeSigning.

    Ve výchozím nastavení je stav poskytovatele prostředků notRegistered.

    Snímek obrazovky znázorňující vyhledání poskytovatele prostředků Microsoft.CodeSigning pro předplatné

  6. Vyberte tři tečky a pak vyberte Zaregistrovat.

    Snímek obrazovky znázorňující poskytovatele prostředků Microsoft.CodeSigning jako zaregistrovaného

    Stav poskytovatele prostředků se změní na Zaregistrovaný.

Vytvoření důvěryhodného podpisového účtu

Důvěryhodný podpisový účet je logický kontejner, který obsahuje prostředky ověření identity a profilu certifikátu.

Oblasti Azure, které podporují důvěryhodné podepisování

Důvěryhodné podpisové prostředky můžete vytvářet jenom v oblastech Azure, ve kterých je služba aktuálně dostupná. Následující tabulka uvádí oblasti Azure, které aktuálně podporují důvěryhodné prostředky podepisování:

Oblast Pole třídy oblasti Hodnota identifikátoru URI koncového bodu
USA – východ EastUS https://eus.codesigning.azure.net
USA – západ WestUS https://wus.codesigning.azure.net
Středozápad USA WestCentralUS https://wcus.codesigning.azure.net
Západní USA 2 WestUS2 https://wus2.codesigning.azure.net
Severní Evropa Severní Evropa https://neu.codesigning.azure.net
Západní Evropa WestEurope https://weu.codesigning.azure.net

Omezení pojmenování pro důvěryhodné podpisové účty

Názvy důvěryhodných podpisových účtů mají určitá omezení.

Název důvěryhodného podpisového účtu musí:

  • Obsahuje 3 až 24 alfanumerických znaků.
  • Buďte globálně jedineční.
  • Začněte písmenem.
  • Končí písmenem nebo číslem.
  • Neobsahuje po sobě jdoucí pomlčky.

Název důvěryhodného podpisového účtu je:

  • Nerozlišuje se malá a velká písmena (ABC je stejná jako abc).
  • Pokud azure Resource Manager začne na "1", zamítne ho Azure Resource Manager.

Vytvoření důvěryhodného podpisového účtu pomocí webu Azure Portal:

  1. Přihlaste se k portálu Azure.

  2. Vyhledejte důvěryhodné podpisové účty a pak vyberte Důvěryhodné podpisové účty.

    Snímek obrazovky znázorňující hledání důvěryhodných podpisových účtů na webu Azure Portal

  3. V podokně Důvěryhodné podpisové účty vyberte Vytvořit.

  4. Jako předplatné vyberte své předplatné Azure.

  5. V části Skupina prostředků vyberte Vytvořit nový a zadejte název skupiny prostředků.

  6. Jako název účtu zadejte jedinečný název účtu.

    Další informace najdete v tématu Omezení pojmenování pro důvěryhodné podpisové účty.

  7. V oblasti vyberte oblast Azure, která podporuje důvěryhodné podepisování.

  8. V části Ceny vyberte cenovou úroveň.

  9. Vyberte tlačítko Zkontrolovat a vytvořit.

    Snímek obrazovky znázorňující vytvoření důvěryhodného podpisového účtu

  10. Po úspěšném vytvoření důvěryhodného podpisového účtu vyberte Přejít k prostředku.

Vytvoření žádosti o ověření identity

Ověření vlastní identity můžete dokončit vyplněním formuláře žádosti informacemi, které musí být součástí certifikátu. Ověření identity je možné dokončit pouze na webu Azure Portal. Ověření identity nejde dokončit pomocí Azure CLI.

Poznámka:

Pokud nemáte přiřazenou odpovídající roli, nemůžete vytvořit žádost o ověření identity. Pokud se tlačítko Nová identita na řádku nabídek na webu Azure Portal zobrazuje šedě, ujistěte se, že máte přiřazenou roli Ověření důvěryhodné podpisové identity, abyste mohli pokračovat v ověřování identity.

Vytvoření žádosti o ověření identity pro organizaci:

  1. Na webu Azure Portal přejděte na nový důvěryhodný podpisový účet.

  2. Ověřte, že máte přiřazenou roli Ověření důvěryhodné podpisové identity.

    Informace o správě přístupu pomocí řízení přístupu na základě role (RBAC) najdete v tématu Kurz: Přiřazení rolí v důvěryhodném podepisování.

  3. V podokně Přehled důvěryhodného podpisového účtu nebo v nabídce prostředků v části Objekty vyberte Ověření identity.

  4. Vyberte Nová identita a pak vyberte Buď Veřejná , nebo Soukromá.

    • Ověření veřejné identity se vztahuje pouze na tyto typy profilů certifikátů: veřejný vztah důvěryhodnosti, test veřejného vztahu důvěryhodnosti, enkláva VBS.
    • Ověřování privátní identity se vztahuje pouze na tyto typy profilů certifikátů: privátní vztah důvěryhodnosti, zásady CI privátního vztahu důvěryhodnosti.
  5. Při ověřování nové identity zadejte následující informace:

    Pole Detaily
    Název organizace Pro ověření veřejné identity zadejte právnickou obchodní entitu, pro kterou je certifikát vystaven. Pro ověření privátní identity se jako výchozí hodnota nastaví název vašeho tenanta Microsoft Entra.
    (Pouze typ privátní identity) Organizační jednotka Zadejte příslušné informace.
    Adresa URL webu Zadejte web, který patří právnické obchodní osobě.
    Primární e-mail Zadejte e-mailovou adresu přidruženou k právnické obchodní entitě, která prochází ověřením. V rámci procesu ověření identity se na tuto e-mailovou adresu odešle ověřovací odkaz a platnost odkazu vyprší za sedm dnů. Ujistěte se, že e-mailová adresa může přijímat e-maily (s odkazy) z externích e-mailových adres.
    Sekundární e-mail Tato e-mailová adresa se musí lišit od primární e-mailové adresy. U organizací musí doména odpovídat e-mailové adrese zadané v primární e-mailové adrese. Ujistěte se, že e-mailová adresa může přijímat e-maily z externích e-mailových adres s odkazy.
    Obchodní identifikátor Zadejte obchodní identifikátor právnické osoby.
    ID prodejce Platí jenom pro zákazníky z Microsoft Storu. Id prodejce najdete na portálu Partnerského centra.
    Ulice, Město, Země, Stát, PSČ Zadejte obchodní adresu právnické osoby.
  6. Výběrem náhledu předmětu certifikátu zobrazíte náhled informací, které se zobrazí v certifikátu.

  7. Vyberte Přijmout podmínky použití společnosti Microsoft pro důvěryhodné podpisové služby. Podmínky použití si můžete stáhnout ke kontrole nebo uložení.

  8. Vyberte tlačítko Vytvořit.

  9. Po úspěšném vytvoření požadavku se stav žádosti o ověření identity změní na Probíhající.

  10. Pokud jsou požadovány další dokumenty, odešle se e-mail a stav žádosti se změní na Povinné akce.

  11. Po dokončení procesu ověření identity se stav žádosti změní a odešle se e-mail s aktualizovaným stavem požadavku:

  • Dokončeno , pokud je proces úspěšně dokončen.
  • Neúspěšné , pokud se proces úspěšně nedokončil.

Snímek obrazovky znázorňující veřejnou možnost v podokně Ověření nové identity

Snímek obrazovky znázorňující možnost Soukromé v podokně Ověření nové identity

Důležité informace pro ověření veřejné identity

Požadavky Detaily
Onboarding Důvěryhodné podepisování v tuto chvíli může připojit pouze právnické obchodní subjekty, které mají ověřitelnou historii daně tři nebo více let. Pro rychlejší proces onboardingu se ujistěte, že jsou veřejné záznamy pro právnickou obchodní entitu, kterou jste ověřili, aktuální.
Přesnost Ujistěte se, že jste zadali správné informace pro ověření veřejné identity. Pokud potřebujete po vytvoření provést nějaké změny, musíte dokončit novou žádost o ověření identity. Tato změna má vliv na přidružené certifikáty, které se používají k podepisování.
Ověření e-mailu se nezdařilo Pokud ověření e-mailu selže, musíte zahájit novou žádost o ověření identity.
Stav ověření identity Když dojde k aktualizaci stavu ověření identity, budete upozorněni e-mailem. Stav můžete kdykoli zkontrolovat také na webu Azure Portal.
Doba zpracování Zpracování žádosti o ověření identity trvá od 1 do 7 pracovních dnů (možná déle, pokud od vás potřebujeme požádat o další dokumentaci).
Další dokumentace Pokud potřebujeme další dokumentaci ke zpracování žádosti o ověření identity, budete upozorněni e-mailem. Dokumenty můžete nahrát na webu Azure Portal. E-mail s žádostí o dokumentaci obsahuje informace o požadavcích na velikost souboru. Ujistěte se, že všechny dokumenty, které zadáte, jsou nejaktuálnější.
- Všechny odeslané dokumenty musí být vydány během předchozích 12 měsíců nebo kde datum vypršení platnosti je budoucí datum, které je alespoň dva měsíce pryč.
- Pokud není možné poskytnout další dokumentaci, aktualizujte informace o svém účtu tak, aby odpovídaly jakýmkoli právním dokumentům, které jsou již poskytnuty, nebo oficiální údaje o registraci společnosti.
- Při poskytování oficiálního obchodního dokladu, jako je formulář registrace firmy, obchodní listina nebo články začlenění, které uvádějí název a adresu společnosti, jak je uvedeno v době vytvoření žádosti o ověření identity.
– Ujistěte se, že registrace domény nebo faktura za doménu pochází z registrace nebo prodloužení, která uvádí název entity/kontaktu a doménu, jak je na žádosti ve stavu.

Vytvoření profilu certifikátu

Prostředek profilu certifikátu je logický kontejner certifikátů vystavených k podepisování.

Omezení pojmenování pro profily certifikátů

Názvy profilů certifikátů mají určitá omezení.

Název profilu certifikátu musí:

  • Obsahuje 5 až 100 alfanumerických znaků.
  • Začínat písmenem, končit písmenem nebo číslicí a nesmí obsahovat po sobě jdoucí pomlčky.
  • Buďte v rámci účtu jedineční.

Název profilu certifikátu je:

  • Ve stejné oblasti Azure jako účet ve výchozím nastavení dědičnost.
  • Nerozlišuje se malá a velká písmena (ABC je stejná jako abc).

Vytvoření profilu certifikátu na webu Azure Portal:

  1. Na webu Azure Portal přejděte na nový důvěryhodný podpisový účet.

  2. V podokně Přehled důvěryhodného podpisového účtu nebo v nabídce prostředků v části Objekty vyberte Profily certifikátů.

  3. Na panelu příkazů vyberte Vytvořit a vyberte typ profilu certifikátu.

    Snímek obrazovky znázorňující typy profilů důvěryhodných podpisových certifikátů, ze které si můžete vybrat

  4. V části Vytvořit profil certifikátu zadejte následující informace:

    a. Jako název profilu certifikátu zadejte jedinečný název.

    Další informace najdete v tématu Omezení pojmenování profilů certifikátů.

    Hodnota typu certifikátu se automaticky vyplněná na základě vybraného typu profilu certifikátu.

    b. U ověřeného CN a O vyberte ověření identity, které se musí zobrazit v certifikátu.

    • Pokud se adresa ulice musí zobrazit na certifikátu, zaškrtněte políčko Zahrnout adresu ulice.

    • Pokud se psč musí zobrazit na certifikátu, zaškrtněte políčko Zahrnout PSČ .

      Hodnoty pro zbývající pole se automaticky načítají na základě vašeho výběru ověřeného CN a O.

      Vygenerovaná verze Preview předmětu certifikátu zobrazuje náhled certifikátu, který se vydá.

  5. Vyberte Vytvořit.

    Snímek obrazovky s podoknem Vytvořit profil certifikátu

Vyčištění prostředků

Odstranění důvěryhodných podpisových prostředků pomocí webu Azure Portal:

Odstranění profilu certifikátu

  1. Na webu Azure Portal přejděte na svůj důvěryhodný podpisový účet.
  2. V podokně Přehled důvěryhodného podpisového účtu nebo v nabídce prostředků v části Objekty vyberte Profily certifikátů.
  3. V profilech certifikátů vyberte profil certifikátu, který chcete odstranit.
  4. Na panelu příkazů vyberte možnost Odstranit.

Poznámka:

Tato akce zastaví podepisování přidružené k profilu certifikátu.

Odstranění důvěryhodného podpisového účtu

  1. Přihlaste se k portálu Azure.
  2. Do vyhledávacího pole zadejte a pak vyberte Důvěryhodné podpisové účty.
  3. U důvěryhodných podpisových účtů vyberte důvěryhodný podpisový účet, který chcete odstranit.
  4. Na panelu příkazů vyberte možnost Odstranit.

Poznámka:

Tato akce odebere všechny profily certifikátů, které jsou propojené s tímto účtem. Všechny podpisové procesy přidružené k profilům certifikátů se zastaví.

V tomto rychlém startu jste vytvořili důvěryhodný podpisový účet, žádost o ověření identity a profil certifikátu. Další informace o důvěryhodném podepisování a zahájení cesty k podepisování najdete v těchto článcích:

  • Přečtěte si další informace o integraci podepisování.
  • Přečtěte si další informace o modelech důvěryhodnosti , které důvěryhodné podepisování podporuje.
  • Přečtěte si další informace o správě certifikátů.
  • Potřebujete pomoc s nastavením:
    • Spojte se prostřednictvím podpory Azure prostřednictvím webu Azure Portal.
    • Odešlete dotaz na Stack Overflow nebo Microsoft Q&A a použijte značku: důvěryhodné podepisování.
      • Problémy s ověřováním identity je možné vyřešit pouze pomocí Stack Overflow nebo Microsoft Q&A.